Kaspersky menyatakan bahawa penyerang sedang memanfaatkan kandungan wallpaper di Steam Creative Workshop untuk menyebarkan perisian jahat. Kerana "wallpaper aplikasi" jenis ini boleh menjalankan program boleh eksekusi secara langsung di komputer Windows, pengguna yang memasang kandungan yang kelihatan normal mungkin secara tidak sengaja memuat turun program pencuri maklumat.
Menemui puluhan pakej wallpaper yang terjejas
Kaspersky menyatakan bahawa penyelidik telah mengenal pasti puluhan pakej wallpaper yang mengandungi kod jahat. Sampel yang berkaitan melibatkan trojan pencuri umum Lumma dan Vidar, serta loader RenEngine.
Program jahat ini biasanya digunakan untuk mencuri maklumat log masuk akaun, data peramban, dan maklumat dompet kripto. Para penyelidik menilai, siri serangan ini bukan merupakan tindakan satu kumpulan sahaja, tetapi lebih seperti pelbagai penyerang yang secara serentak menggunakan kaedah serupa untuk menyebarkan kandungan jahat.
Pengorbanan utama berada di China dan Rusia
Menurut Kaspersky, mangsa terutamanya tersebar di China dan Rusia, selain itu kes jangkitan juga ditemui di Singapura, Hong Kong China, Jerman, Vietnam, India, dan Kanada.
Syarikat menyatakan bahawa cara penyebaran pakej wallpaper jahat berbeza: ada yang secara langsung dikaitkan dengan trojan, sementara yang lain menyembunyikan fail jahat di dalam fail mampat terenkripsi, yang akan dilepaskan secara automatik selepas pemasangan.
Gunakan platform sah untuk meningkatkan kecekapan penyebaran
Kaspersky menyebutkan bahawa kes serupa pernah berlaku pada tahun 2025: satu wallpaper yang pada permukaannya akan memulakan permainan desktop biasa, tetapi di latar belakang secara rahsia memasang program jahat DarkKomet.
Para penyelidik menyatakan bahawa serangan semacam ini bergantung pada kepercayaan pengguna terhadap ekosistem platform rasmi. Penyerang tidak perlu menyamar sebagai laman unduhan bebas, cukup dengan membungkus kandungan jahat sebagai sumber kreatif biasa untuk mencapai ramai mangsa berpotensi.
Pada Julai tahun ini, syarikat keselamatan siber Prodaft juga mengungkap bahawa permainan Steam Early Access Chemia telah diserang dan digunakan untuk menyebarkan Hijack Loader, Fickle Stealer, dan Vidar Stealer, dengan sasaran yang sama termasuk dompet kripto dan data pengguna. Sebelum itu, pada Mac, Jabatan Siasatan Persekutuan Amerika mengumumkan penyiasatan terhadap pelbagai perisian jahat yang disebarkan melalui permainan Steam, yang melibatkan Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara, dan Tokenova.