Kaspersky, saldırganların Steam Creative Workshop'taki duvar kağıtları içeriğini kullanarak kötü amaçlı yazılım yaydığını belirtti. Bu tür "uygulama duvar kağıtları", Windows bilgisayarlarda doğrudan yürütülebilir programlar çalıştırdığı için, kullanıcılar görünüşte normal içerikleri yüklerken aynı zamanda veri çalma programlarını indirebilir.
Onlarca bulaşmış duvar kağıdı paketi keşfedildi
Kaspersky, araştırmacıların kötü amaçlı kod içeren onlarca duvar kağıdı paketi tanımladığını belirtti. İlgili örnekler, Lumma ve Vidar adlı yaygın veri çalma atları ile RenEngine yükleyicisini içeriyor.
Bu kötü amaçlı yazılımlar genellikle hesap kimlik bilgilerini, tarayıcı verilerini ve kripto cüzdan bilgilerini çalmak için kullanılır. Araştırmacılar, bu kampanyanın tek bir grup tarafından yürütüldüğü yerine, birden fazla saldırganın benzer yöntemleri kullanarak aynı anda kötü amaçlı içerikler yaydığına dair bir değerlendirme yapmıştır.
Ana mağdurlar Çin ve Rusya'da
Kaspersky'nin açıklamasına göre, mağdurlar çoğunlukla Çin ve Rusya'da bulunuyor; ayrıca Singapur, Hong Kong, Almanya, Vietnam, Hindistan ve Kanada'da da bulaşma vakaları görüldü.
Şirket, kötü amaçlı duvar kağıdı paketlerinin dağıtım yöntemlerinin farklı olduğunu belirtti: bazıları doğrudan bir atılganla birlikte dağıtılırken, bazıları ise şifrelenmiş arşivlerde gizlenir ve kurulumdan sonra otomatik olarak serbest bırakılır.
Yasal platformları kullanarak yayılım verimliliğini artırın
Kaspersky, 2025 yılında benzer bir vaka olduğunu belirtti: Bir duvar kağıdı, görünürde normal bir masaüstü oyununu başlatırken, arka planda DarkKomet arka kapısı yazılımını gizlice yükledi.
Araştırmacılar, bu tür saldırıların kullanıcıların resmi platform ekosistemine olan güvenine dayandığını belirtti. Saldırganlar, bağımsız bir indirme sitesi gibi görünmek zorunda kalmadan, zararlı içeriği sıradan bir创意工坊 kaynağı olarak sunarak büyük sayıda potansiyel kurbanla ulaşabilir.
Bu yıl Temmuz ayında, siber güvenlik şirketi Prodaft, Steam'in erken erişim oyunu Chemia'nın, Hijack Loader, Fickle Stealer ve Vidar Stealer'ın yayılmasında kullanıldığını ve hedeflerinin aynı şekilde kripto cüzdanlar ve kullanıcı verileri olduğunu açıkladı. Daha önce Mart ayında, ABD Federal Soruşturma Dairesi, Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara ve Tokenova dahil olmak üzere Steam oyunları aracılığıyla yayılan birçok kötü amaçlı yazılımı araştırdığını duyurdu.