A Kaspersky afirma que os atacantes estão utilizando o conteúdo de fundos de tela da Steam Workshop para distribuir malware. Como esses "fundos de tela aplicativos" podem executar programas executáveis diretamente em computadores Windows, os usuários podem, ao instalar conteúdo aparentemente normal, baixar simultaneamente programas de roubo de informações.
Descobertos dezenas de pacotes de papel de parede infectados
Kaspersky afirma que pesquisadores identificaram dezenas de pacotes de papel de parede com código malicioso. As amostras relacionadas envolvem os trojans de roubo de dados comuns Lumma e Vidar, bem como o carregador RenEngine.
Esses programas maliciosos são geralmente usados para roubar credenciais de contas, dados de navegadores e informações de carteiras criptográficas. Os pesquisadores concluíram que esta campanha não parece ser obra de um único grupo, mas sim de vários atacantes utilizando técnicas semelhantes para distribuir conteúdo malicioso simultaneamente.
Principais vítimas na China e na Rússia
De acordo com a Kaspersky, as vítimas estão principalmente distribuídas na China e na Rússia, além de casos de infecção também terem sido registrados em Cingapura, Hong Kong, Alemanha, Vietnã, Índia e Canadá.
A empresa afirmou que as formas de distribuição dos pacotes de papel de parede maliciosos variam: alguns são diretamente embalados com trojans, enquanto outros escondem arquivos maliciosos dentro de arquivos compactados criptografados, liberando-os automaticamente após a instalação.
Use plataformas legais para aumentar a eficiência de disseminação
Kaspersky mencionou que, em 2025, ocorreu um caso semelhante: um papel de parede que, aparentemente, iniciava um jogo de desktop normal, mas secretamente instalava um backdoor DarkKomet em segundo plano.
Pesquisadores afirmam que esse tipo de ataque depende da confiança dos usuários no ecossistema de plataformas legítimas. Os atacantes não precisam se disfarçar como sites de download independentes; basta apresentar conteúdo malicioso como recursos comuns da Steam Workshop para alcançar um grande número de potenciais vítimas.
Em julho deste ano, a empresa de segurança cibernética Prodaft também revelou que o jogo em pré-venda da Steam, Chemia, foi invadido e usado para distribuir Hijack Loader, Fickle Stealer e Vidar Stealer, com alvos que incluíam carteiras criptográficas e dados de usuários. Anteriormente, em março, o FBI anunciou uma investigação sobre vários softwares maliciosos distribuídos por meio de jogos da Steam, envolvendo Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara e Tokenova.