أفاد كاسبرسكي أن المهاجمين يستغلون محتوى خلفيات ووكشوب ستيم لتوزيع البرمجيات الخبيثة. نظرًا لأن هذه "الخلفيات التطبيقية" يمكنها تشغيل ملفات تنفيذية مباشرة على أجهزة ويندوز، فقد يقوم المستخدمون بتنزيل برامج سرقة البيانات عند تثبيت محتوى يبدو طبيعيًا.
تم اكتشاف عشرات حزم الخلفيات المصابة
يقول كاسبرسكي إن الباحثين حددوا عشرات حزم الخلفيات التي تحتوي على كود ضار. تشمل العينات ذات الصلة نوعين شائعين من أحصنة طروادة المسروقة، وهما Lumma وVidar، بالإضافة إلى عامل تحميل RenEngine.
تُستخدم هذه البرمجيات الخبيثة عادةً لسرقة بيانات اعتماد الحسابات وبيانات المتصفح ومعلومات محافظ التشفير. وخلص الباحثون إلى أن هذه الحملة لا تبدو وكأنها من عمل عصابة واحدة، بل更像是 عدة مهاجمين يستخدمون أساليب مشابهة في آنٍ واحد لنشر المحتوى الخبيث.
الضحايا الرئيسيون في الصين وروسيا
وفقًا للكشف من كاسبرسكي، فإن الضحايا موزعين بشكل رئيسي في الصين وروسيا، بالإضافة إلى حالات إصابة تم تسجيلها في سنغافورة وهونغ كونغ الصينية وألمانيا وفيتنام والهند وكندا.
أشارت الشركة إلى أن طرق نشر حزم الخلفيات الضارة تختلف: بعضها يربط مباشرةً ببرنامج خبيث، بينما يخفي البعض الآخر الملفات الضارة داخل ملف مضغوط مشفر، ويُطلقها تلقائيًا بعد التثبيت.
استخدم منصات قانونية لزيادة كفاءة النشر
ذكر كاسبرسكي أن هناك حالة مشابهة ظهرت في عام 2025: حيث كان خلفية شاشة تُشغّل لعبة سطح مكتب عادية ظاهريًا، لكنها كانت تثبّت تطبيق خلفي DarkKomet في الخلفية دون علم المستخدم.
يقول الباحثون إن هذا النوع من الهجمات يعتمد على ثقة المستخدمين في نظام المنصة الرسمية. لا يحتاج المهاجمون إلى التظاهر بأنهم مواقع تحميل مستقلة، بل يكفيهم تغليف المحتوى الضار كموارد عادية في ورشة الإبداع للوصول إلى عدد كبير من الضحايا المحتملين.
في يوليو من هذا العام، كشفت شركة الأمن السيبراني Prodaft أيضًا أن لعبة Steam التجريبية Chemia تم اختراقها واستُخدمت لنشر Hijack Loader وFickle Stealer وVidar Stealer، مع استهداف محافظ التشفير وبيانات المستخدمين على حد سواء. وفي وقت سابق في مارس، أعلنت مكتب التحقيقات الفيدرالي الأمريكي عن التحقيق في عدة برامج ضارة تُنشر عبر ألعاب Steam، تشمل Chemia وPirateFi وBlockBlasters وDashverse وDashFPS وLampy وLunara وTokenova.