Kaspersky cho biết, các kẻ tấn công đang sử dụng nội dung hình nền từ Steam Workshop để phân phối phần mềm độc hại. Vì các “hình nền ứng dụng” này có thể chạy trực tiếp tệp thực thi trên máy tính Windows, người dùng khi cài đặt các nội dung trông có vẻ bình thường có thể vô tình tải về chương trình đánh cắp thông tin.
Đã phát hiện hàng chục gói hình nền bị nhiễm
Kaspersky cho biết các nhà nghiên cứu đã xác định được hàng chục gói hình nền chứa mã độc. Các mẫu liên quan bao gồm hai loại trojan đánh cắp thông tin phổ biến là Lumma và Vidar, cùng với trình tải RenEngine.
Các chương trình độc hại này thường được sử dụng để đánh cắp thông tin đăng nhập tài khoản, dữ liệu trình duyệt và thông tin ví tiền điện tử. Các nhà nghiên cứu nhận định, chiến dịch này không giống như do một nhóm duy nhất thực hiện, mà更像是 nhiều kẻ tấn công cùng lúc sử dụng các phương pháp tương tự để phân phối nội dung độc hại.
Các nạn nhân chính ở Trung Quốc và Nga
Theo Kaspersky tiết lộ, các nạn nhân chủ yếu tập trung ở Trung Quốc và Nga, ngoài ra cũng ghi nhận các trường hợp lây nhiễm tại Singapore, Hồng Kông (Trung Quốc), Đức, Việt Nam, Ấn Độ và Canada.
Công ty cho biết các gói hình nền độc hại được phân phối theo nhiều cách khác nhau: một số được gắn trực tiếp với mã độc, trong khi những cái khác ẩn tệp độc hại trong các tệp nén được mã hóa và tự động giải phóng sau khi cài đặt.
Sử dụng nền tảng hợp pháp để tăng hiệu quả truyền thông
Kaspersky cho biết, năm 2025 đã từng xảy ra trường hợp tương tự: một hình nền trông giống như sẽ khởi động một trò chơi bàn làm việc bình thường, nhưng ở nền sau sẽ cài đặt bí mật chương trình backdoor DarkKomet.
Các nhà nghiên cứu cho biết, các cuộc tấn công này dựa vào niềm tin của người dùng vào hệ sinh thái của các nền tảng chính thống. Kẻ tấn công không cần giả mạo thành các trang tải xuống độc lập, mà chỉ cần đóng gói nội dung độc hại dưới dạng tài nguyên bình thường trên cửa hàng sáng tạo, để tiếp cận một lượng lớn nạn nhân tiềm năng.
Tháng 7 năm nay, công ty an ninh mạng Prodaft cũng từng tiết lộ rằng trò chơi Steam ở giai đoạn trải nghiệm sớm Chemia đã bị xâm nhập và được sử dụng để phát tán Hijack Loader, Fickle Stealer và Vidar Stealer, với mục tiêu cũng bao gồm ví tiền điện tử và dữ liệu người dùng. Trước đó, vào tháng 3, Cục Điều tra Liên bang Mỹ đã thông báo điều tra nhiều phần mềm độc hại được phát tán thông qua các trò chơi trên Steam, liên quan đến Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara và Tokenova.