Касперский сообщает, что злоумышленники используют контент из Steam Workshop для распространения вредоносного ПО. Поскольку такие «прикладные обои» могут напрямую запускать исполняемые файлы на компьютерах под Windows, пользователи, устанавливающие кажущиеся безвредными материалы, могут одновременно загружать программы для кражи данных.
Обнаружено десятки зараженных пакетов обоев
Касперский сообщил, что исследователи идентифицировали десятки пакетов обоев с вредоносным кодом. Связанные образцы включают два распространенных трояна-крадущих данные — Lumma и Vidar, а также загрузчик RenEngine.
Эти вредоносные программы обычно используются для кражи учетных данных, данных браузера и информации о криптокошельках. Исследователи пришли к выводу, что эта кампания не похожа на работу одной группы, а скорее представляет собой одновременную деятельность нескольких злоумышленников, использующих схожие методы для распространения вредоносного контента.
Основные жертвы находятся в Китае и России
Согласно данным Kaspersky, жертвы в основном сосредоточены в Китае и России, а также случаи заражения зафиксированы в Сингапуре, Гонконге, Германии, Вьетнаме, Индии и Канаде.
Компания заявила, что способы распространения вредоносных пакетов обоев различаются: некоторые напрямую связаны с троянами, другие скрывают вредоносные файлы в зашифрованных архивах, которые автоматически извлекаются после установки.
Используйте легальные платформы для повышения эффективности распространения
Касперский упомянул, что в 2025 году уже был похожий случай: одна из обоев на поверхности запускала обычную настольную игру, но в фоновом режиме тайно устанавливалась бэкдор-программа DarkKomet.
Исследователи отмечают, что такие атаки основаны на доверии пользователей к экосистеме официальных платформ. Злоумышленникам не нужно выдавать себя за независимые сайты загрузки — достаточно представить вредоносный контент как обычный ресурс из творческой мастерской, чтобы достичь большого числа потенциальных жертв.
В июле этого года кибербезопасностная компания Prodaft также сообщила, что игра в режиме раннего доступа на Steam Chemia была взломана и использовалась для распространения Hijack Loader, Fickle Stealer и Vidar Stealer, причем целями были те же криптокошельки и пользовательские данные. Ранее, в марте, ФБР объявило о расследовании нескольких вредоносных программ, распространяемых через игры на Steam, включая Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara и Tokenova.