Kaspersky menyatakan bahwa penyerang sedang memanfaatkan konten wallpaper di Steam Creative Workshop untuk mendistribusikan perangkat lunak berbahaya. Karena "wallpaper aplikatif" semacam ini dapat menjalankan program eksekusi langsung di komputer Windows, pengguna yang menginstal konten yang tampak normal mungkin secara tidak sengaja mengunduh program pencuri data.
Menemukan puluhan paket wallpaper yang terinfeksi
Kaspersky menyatakan bahwa para peneliti telah mengidentifikasi puluhan paket wallpaper yang mengandung kode berbahaya. Sampel terkait melibatkan dua trojan pencuri umum, Lumma dan Vidar, serta loader RenEngine.
Program jahat ini biasanya digunakan untuk mencuri kredensial akun, data browser, dan informasi dompet kripto. Para peneliti menyimpulkan bahwa kampanye ini tidak seperti dilakukan oleh satu kelompok tunggal, melainkan lebih mirip beberapa penyerang yang secara bersamaan menggunakan metode serupa untuk menyebarkan konten jahat.
Para korban utama berada di Tiongkok dan Rusia
Menurut pengungkapan Kaspersky, korban terutama tersebar di Tiongkok dan Rusia, selain itu kasus infeksi juga terjadi di Singapura, Hong Kong Tiongkok, Jerman, Vietnam, India, dan Kanada.
Perusahaan menyatakan bahwa metode penyebaran paket wallpaper jahat berbeda-beda: beberapa langsung terikat dengan trojan, sementara yang lain menyembunyikan file jahat di dalam arsip terenkripsi yang akan dirilis secara otomatis setelah pemasangan.
Gunakan platform resmi untuk meningkatkan efisiensi penyebaran
Kaspersky menyebutkan bahwa pada tahun 2025 pernah terjadi kasus serupa: sebuah wallpaper yang secara tampilan akan memulai sebuah game desktop normal, tetapi di latar belakang secara diam-diam menginstal program backdoor DarkKomet.
Para peneliti menyatakan bahwa serangan semacam ini bergantung pada kepercayaan pengguna terhadap ekosistem platform resmi. Penyerang tidak perlu menyamar sebagai situs unduhan independen, cukup dengan membungkus konten jahat sebagai sumber daya biasa di creative workshop, mereka sudah dapat menjangkau sejumlah besar calon korban.
Pada Juli tahun ini, perusahaan keamanan siber Prodaft juga mengungkap bahwa game Steam Early Access Chemia telah disusupi dan digunakan untuk menyebarkan Hijack Loader, Fickle Stealer, dan Vidar Stealer, dengan target yang sama mencakup dompet kripto dan data pengguna. Sebelumnya, pada Maret, Federal Bureau of Investigation AS mengumumkan penyelidikan terhadap berbagai perangkat lunak berbahaya yang menyebar melalui game Steam, yang melibatkan Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara, dan Tokenova.