Kaspersky indique que les attaquants exploitent les contenus de fonds d'écran de la Steam Workshop pour distribuer des logiciels malveillants. Étant donné que ces « fonds d'écran applicatifs » peuvent exécuter directement des programmes exécutables sur les ordinateurs Windows, les utilisateurs qui installent des contenus apparemment normaux peuvent télécharger en parallèle des programmes volant des données.
Découverte de dizaines de paquets de fonds d'écran infectés
Kaspersky indique que des chercheurs ont identifié des dizaines de paquets de fonds d'écran contenant du code malveillant. Les échantillons concernés impliquent deux chevaux de Troie de vol de données courants, Lumma et Vidar, ainsi qu'un chargeur RenEngine.
Ces programmes malveillants sont généralement utilisés pour voler les identifiants de compte, les données du navigateur et les informations des portefeuilles cryptographiques. Les chercheurs estiment que cette campagne ne semble pas être l'œuvre d'un seul groupe, mais plutôt de plusieurs attaquants utilisant simultanément des méthodes similaires pour diffuser du contenu malveillant.
Les principales victimes se trouvent en Chine et en Russie
Selon Kaspersky, les victimes sont principalement réparties en Chine et en Russie, avec des cas d'infection également signalés à Singapour, à Hong Kong, en Allemagne, au Vietnam, en Inde et au Canada.
L'entreprise indique que les méthodes de distribution des paquets de fonds d'écran malveillants varient : certains sont directement liés à un cheval de Troie, tandis que d'autres cachent les fichiers malveillants dans des archives compressées chiffrées, qui sont automatiquement décompressées après installation.
Utiliser une plateforme légale pour améliorer l'efficacité de la diffusion
Kaspersky a mentionné un cas similaire en 2025 : un fond d'écran qui, à première vue, lançait un jeu de bureau normal, mais installait secrètement en arrière-plan un programme malveillant DarkKomet.
Les chercheurs indiquent que ce type d'attaque repose sur la confiance des utilisateurs envers l'écosystème des plateformes légitimes. Les attaquants n'ont pas besoin de se faire passer pour des sites de téléchargement indépendants ; il leur suffit de présenter du contenu malveillant comme une ressource ordinaire de l'atelier créatif pour atteindre un grand nombre de victimes potentielles.
En juillet de cette année, la société de cybersécurité Prodaft avait également révélé que le jeu en pré-vente sur Steam, Chemia, avait été compromis et utilisé pour propager Hijack Loader, Fickle Stealer et Vidar Stealer, ciblant également des portefeuilles cryptographiques et des données utilisateur. Plus tôt, en mars, le FBI avait annoncé une enquête sur plusieurs logiciels malveillants propagés via des jeux Steam, impliquant Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara et Tokenova.