卡巴斯基表示,攻擊者正利用 Steam 創意工坊的壁紙內容分發惡意軟體。由於這類「應用型壁紙」可直接在 Windows 電腦上執行可執行程式,用戶在安裝看似正常的內容時,可能同時下載竊密程式。
發現數十個受感染的壁紙包
卡巴斯基表示,研究人員已識別出數十個包含惡意代碼的壁紙包。相關樣本涉及 Lumma 和 Vidar 這兩類常見的竊密木馬,以及 RenEngine 加載器。
這些惡意程式通常用於竊取帳戶憑證、瀏覽器資料和加密錢包資訊。研究人員判斷,這輪活動不像單一團伙所為,更像是多個攻擊者同時利用相似手法投放惡意內容。
主要受害者位於中國和俄羅斯
根據卡巴斯基披露,受害者主要分佈在中國和俄羅斯,此外新加坡、中國香港、德國、越南、印度和加拿大也出現感染案例。
公司表示,惡意壁紙包的投放方式各不相同:有的直接捆綁木馬,有的則將惡意文件藏於加密壓縮包中,待安裝後自動釋放。
透過合法平台提升傳播效率
卡巴斯基提到,2025 年曾出現過類似案例:某款壁紙在表面上會啟動一款正常桌面遊戲,但後台會秘密安裝 DarkKomet 後門程式。
研究人員表示,此類攻擊依賴用戶對正規平台生態的信任。攻擊者無需偽裝成獨立下載站,只需將惡意內容包裝成普通創意工坊資源,即可接觸大量潛在受害者。
今年 7 月,网络安全公司 Prodaft 也曾披露,Steam 抢先體驗遊戲 Chemia 被入侵後,被用於傳播 Hijack Loader、Fickle Stealer 和 Vidar Stealer,目標同樣包括加密錢包和用戶數據。更早前的 3 月,美國聯邦調查局宣布調查多款通過 Steam 遊戲傳播的惡意軟體,涉及 Chemia、PirateFi、BlockBlasters、Dashverse、DashFPS、Lampy、Lunara 和 Tokenova。