Зараженные обои в Steam Workshop крадут аккаунты и пароли через легальный контент
Зараженные анимированные обои в Steam Workshop уже скачали десятки тысяч раз, превратив популярный сервис в канал для кражи аккаунтов и банковских данных. Доверие к официальному контенту стало главной уязвимостью, позволяя хакерам обходить защиту и захватывать полный контроль над компьютерами пользователей в России, Китае и других регионах.
Исследователи «Лаборатории Касперского» выявили масштабную кампанию по краже учетных данных пользователей платформы Steam, где вектором атаки стали зараженные анимированные обои для рабочего стола. Злоумышленники используют легитимный сервис Steam Workshop и приложение Wallpaper Engine для распространения вредоносного ПО, которое уже скачали десятки тысяч раз. Кампания, длящаяся с конца 2025 года, нацелена преимущественно на пользователей в России и Китае, но фиксируется также в Европе и Азии.
Важный нюанс: Доверие к контенту внутри официальных магазинов приложений становится уязвимостью, позволяя хакерам обходить традиционные фильтры безопасности.
Механика атаки и технические детали
Атака использует функциональность приложения Wallpaper Engine, позволяющую запускать исполняемые программы и веб-страницы прямо на рабочем столе. Злоумышленники внедряют вредоносный код двумя основными способами:
- Прямая вставка вредоносных исполняемых файлов, DLL-библиотек и скриптов в пакеты обоев, которые запускаются автоматически после установки.
- Скрытие вредоносного ПО в архивах, защищенных паролем, где ключи для разблокировки зашиты в имена файлов или конфигурационные настройки.
Один из выявленных образцов, обнаруженный в декабре 2025 года, внешне работал корректно, запуская игру на рабочем столе. В фоновом режиме он устанавливал бэкдор DarkKomet для удаленного доступа к ПК и модифицированную библиотеку для перехвата сессий Steam. Это позволяет злоумышленникам не только красть аккаунты, но и получать полный контроль над устройством жертвы.
География и используемые инструменты
Атаки реализуются, вероятно, множеством независимых групп, использующих разные семейства вредоносных программ. В кампании задействованы программы-стилеры Lumma и Vidar, а также загрузчик RenEngine, предназначенный для кражи паролей и данных банковских карт.
География атак охватывает следующие регионы:
- Россия и Китай: основные цели кампании.
- Сингапур, Гонконг, Германия, Вьетнам, Индия, Канада: зафиксированы отдельные попытки атак.
Стоит учесть: Разнообразие используемых вредоносных модулей указывает на то, что угроза исходит не от одной организованной группы, а от широкого круга киберпреступников, копирующих успешные методы.
Риски для бизнеса и рекомендации
Для корпоративного сектора и частных пользователей риск заключается в том, что заражение происходит через доверенные источники, что снижает бдительность сотрудников. Потеря доступа к аккаунтам Steam может стать точкой входа для более серьезных атак на корпоративные сети, если игровые аккаунты используются для доступа к рабочим ресурсам или содержат привязанные платежные данные.
Для минимизации угроз эксперты рекомендуют:
- Проверять репутацию авторов пользовательского контента перед установкой, даже если источник кажется надежным.
- Установить на все устройства защитные решения, эффективность которых подтверждена независимыми тестами.
- Оставаться предельно внимательными при загрузке любых приложений и модификаций.
На фоне этого: Традиционные методы фильтрации ссылок и сайтов могут быть недостаточны, так как угроза скрывается внутри легального контента, загружаемого по инициативе пользователя.
Источник: kaspersky.ru
