Kaspersky повідомляє, що зловмисники використовують контент із Steam Workshop для розповсюдження шкідливого програмного забезпечення. Оскільки такі «застосунки-обкладинки» можуть безпосередньо виконувати виконувані файли на комп’ютерах під Windows, користувачі, встановлюючи звичайні на перший погляд матеріали, можуть одночасно завантажити програми для крадіжки даних.
Виявлено десятки заражених пакетів шпалер
Kaspersky повідомляє, що дослідники виявили десятки пакетів шпалер із шкідливим кодом. Відповідні зразки пов’язані з двома поширеними троянами-крадіями — Lumma та Vidar — а також завантажувачем RenEngine.
Ці шкідливі програми зазвичай використовуються для крадіжки облікових даних, даних браузера та інформації про криптовалютні гаманці. Дослідники вважають, що ця хвиля атак не є роботою однієї групи, а скоріше результатом одночасних дій кількох нападників, які використовують схожі методи для розповсюдження шкідливого контенту.
Основні жертви знаходяться в Китаї та Росії
Згідно з даними Kaspersky, жертви переважно розташовані в Китаї та Росії, а також випадки зараження зафіксовані в Сінгапурі, Гонконгі, Німеччині, В’єтнамі, Індії та Канаді.
Компанія зазначила, що способи розповсюдження зловмисних пакетів шпалер відрізняються: деякі безпосередньо поєднуються з трояном, інші приховують зловмисні файли в зашифрованих архівах, які автоматично розпаковуються після встановлення.
Використовуйте легальні платформи для підвищення ефективності поширення
Касперський згадав, що у 2025 році вже був подібний випадок: одна з обкладинок на перший погляд запускала звичайну настільну гру, але у фоновому режимі таємно встановлювала бекдор DarkKomet.
Дослідники зазначають, що такі атаки ґрунтуються на довірі користувачів до екосистеми легітимних платформ. Зловмисникам не потрібно видаювати себе за незалежні сайти завантаження — достатньо приховати шкідливий контент під звичайними ресурсами творчої майстерні, щоб дістатися до великої кількості потенційних жертв.
У липні цього року компанія з кібербезпеки Prodaft також повідомила, що гра Chemia у режимі раннього доступу на Steam була взламана і використовувалася для поширення Hijack Loader, Fickle Stealer та Vidar Stealer, з метою викрадення криптовалютних гаманців та користувацьких даних. Раніше, у березні, ФБР оголосило про розслідування кількох шкідливих програм, що поширювалися через гри на Steam, зокрема Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara та Tokenova.