Kaspersky indica que los atacantes están utilizando el contenido de fondos de pantalla de la Steam Workshop para distribuir malware. Debido a que estos "fondos de pantalla aplicativos" pueden ejecutar programas ejecutables directamente en computadoras Windows, los usuarios que instalan contenido que parece normal podrían estar descargando simultáneamente programas de robo de información.
Detected dozens of infected wallpaper packages
Kaspersky indica que los investigadores han identificado decenas de paquetes de fondos de pantalla con código malicioso. Las muestras relacionadas involucran dos troyanos robadores comunes, Lumma y Vidar, así como el cargador RenEngine.
Estos programas maliciosos suelen utilizarse para robar credenciales de cuentas, datos del navegador e información de billeteras criptográficas. Los investigadores determinaron que esta campaña no parece ser obra de un solo grupo, sino más bien de múltiples atacantes que utilizan simultáneamente técnicas similares para distribuir contenido malicioso.
Los principales afectados están en China y Rusia
Según la divulgación de Kaspersky, las víctimas se distribuyen principalmente en China y Rusia, además de que se han registrado casos de infección en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá.
La empresa indicó que los métodos de distribución de los paquetes de fondos de pantalla maliciosos varían: algunos se empaquetan directamente con troyanos, mientras que otros ocultan archivos maliciosos dentro de archivos comprimidos cifrados que se liberan automáticamente tras la instalación.
Utilice plataformas legales para aumentar la eficiencia de la difusión
Kaspersky mencionó que en 2025 se presentó un caso similar: un fondo de pantalla que, aparentemente, iniciaba un juego de escritorio normal, pero en segundo plano instalaba secretamente el programa puerta trasera DarkKomet.
Los investigadores indican que este tipo de ataques depende de la confianza de los usuarios en el ecosistema de plataformas legítimas. Los atacantes no necesitan disfrazarse como sitios de descarga independientes; solo deben presentar contenido malicioso como recursos normales de la comunidad creativa para alcanzar a un gran número de posibles víctimas.
En julio de este año, la empresa de ciberseguridad Prodaft también reveló que el juego en acceso anticipado de Steam, Chemia, fue comprometido y utilizado para propagar Hijack Loader, Fickle Stealer y Vidar Stealer, con objetivos que incluían billeteras criptográficas y datos de usuarios. Anteriormente, en marzo, el FBI anunció una investigación sobre múltiples malware propagados a través de juegos de Steam, que involucraban a Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara y Tokenova.