カスペルスキーは、攻撃者がSteamのクリエイティブワークショップの壁紙コンテンツを利用してマルウェアを配布していると述べています。これらの「アプリケーション型壁紙」は、Windowsコンピュータ上で直接実行ファイルを実行できるため、ユーザーが通常のコンテンツをインストールする際に、情報収集プログラムが同時にダウンロードされる可能性があります。
数十の感染した壁紙パッケージを発見
カスペルスキーは、研究者が悪意のあるコードを含む複数の壁紙パッケージを特定したと述べた。関連するサンプルには、LummaとVidarの一般的な情報窃取トロイの木馬、およびRenEngineローダーが含まれている。
これらの悪意のあるプログラムは、アカウント認証情報、ブラウザデータ、および暗号ウォレット情報の窃取に通常使用されます。研究者は、この一連の活動が単一のグループによるものではなく、複数の攻撃者が類似した手法を用いて同時に悪意のあるコンテンツを配布しているように判断しています。
主要な被害者は中国とロシアにいます
カスペルスキーの開示によると、被害者は主に中国とロシアに分布しており、シンガポール、香港、ドイツ、ベトナム、インド、カナダでも感染事例が確認されています。
同社は、悪意のある壁紙パッケージの配布方法は異なり、一部はトロイの木馬と直接バンドルされ、他の一部は暗号化された圧縮ファイルに悪意のあるファイルを隠し、インストール後に自動的に解放すると述べています。
合法なプラットフォームを利用して拡散効率を向上させる
カスペルスキーは、2025年に類似の事例が発生していたと指摘した。ある壁紙は表面上では通常のデスクトップゲームを起動するが、バックグラウンドではDarkKometバックドアを秘密裏にインストールしていた。
研究者によると、このような攻撃はユーザーが公式プラットフォームのエコシステムを信頼していることに依存しています。攻撃者は独立したダウンロードサイトに偽装する必要はなく、悪意のあるコンテンツを通常のクリエイティブワークショップリソースとして包み込むだけで、多数の潜在的な被害者にアクセスできます。
今年7月、サイバーセキュリティ企業Prodaftは、Steamのプレマーケットゲーム「Chemia」が侵害され、Hijack Loader、Fickle Stealer、Vidar Stealerの配布に使用されたことを公表した。これらのマルウェアの標的は、暗号ウォレットおよびユーザー情報であった。さらに以前の3月には、米国連邦捜査局(FBI)が、Chemia、PirateFi、BlockBlasters、Dashverse、DashFPS、Lampy、Lunara、TokenovaといったSteamゲームを介して拡散されるマルウェアの調査を発表した。