Badacze wykryli trwającą kampanię dystrybucji złośliwego oprogramowania, która wykorzystuje Warsztat Steam oraz popularną aplikację Wallpaper Engine. Cyberprzestępcy ukrywają wirusy w interaktywnych tapetach na pulpit, a ich głównym celem jest kradzież kont graczy oraz wprowadzanie na zainfekowaną maszynę kolejnego malware. Zainfekowane pakiety pobrano już tysiące razy, a ofiarami sprytnych hakerów stali się już m.in. użytkownicy z Chin, Rosji czy Niemiec.
Przestępcy korzystają z Wallpaper Engine i Warsztatu Steam do rozprzestrzeniania wirusów
Eksperci z firmy Kaspersky ujawnili trwającą operację wymierzoną w użytkowników platformy Steam. Ataki opierają się na nadużywaniu funkcji Warsztatu Steam oraz powiązanej z nim, niezwykle popularnej aplikacji Wallpaper Engine, która to służy do tworzenia i udostępniania animowanych tapet na pulpit. Warsztat Steam to wbudowane narzędzie ułatwiające graczom znajdowanie, instalowanie i zarządzanie zawartością generowaną przez społeczność, taką jak mody, mapy czy właśnie tapety.
Jak podkreślają badacze, zagrożenie tkwi w samej architekturze tytułowej aplikacji, albowiem ta, oprócz plików wideo, scen interaktywnych i stron internetowych, obsługuje również tapety bazujące na osobnych aplikacjach. To właśnie ostatnia z funkcji jest najbardziej problematyczna, jako że pozwala na uruchamianie programów wykonywalnych bezpośrednio w systemie użytkownika, co otworzyło hakerom furtkę do dystrybucji złośliwego kodu. Do tej pory zidentyfikowano już dziesiątki zainfekowanych „tapet” i starczy napisać, że ich „cechy wspólne” rzucają się w oczy.
Wiele z tych szkodliwych aplikacji, podszywających się pod tła pulpitu, zostało już pobrane dziesiątki tysięcy razy. Ataki dotknęły głównie użytkowników z Chin i Rosji, ale ofiary odnotowano również w Niemczech, Singapurze, Hongkongu, Wietnamie, Indiach oraz Kanadzie.
Jak przebiega atak z wykorzystaniem zainfekowanej „tapety”?
Zgodnie z udostępnionymi informacjami, przestępcy stosują dwie główne metody dostarczania szkodliwych plików do systemów ofiar. Po pierwsze, do pobieranej „tapety” załączone są zainfekowane pliki wykonywalne, biblioteki DLL oraz skrypty ze złośliwym kodem. Po drugie, malware ukrywane jest w zabezpieczonych hasłem archiwach, przy czym hasła są zaszywane bezpośrednio w nazwach tych archiwów lub w dołączonych plikach konfiguracyjnych.
Po instalacji „tapety” szkodliwe ładunki uruchamiają się automatycznie. Jako przykład eksperci podali próbkę wykrytą w grudniu 2025 roku. Początkowo tapeta działała bez zarzutu, uruchamiając wbudowaną grę na pulpicie, nie dając przy tym powodów, aby sądzić, iż w rzeczywistości jest zakamuflowanym wirusem. W tle jednak aplikacja potajemnie wdrożyła backdoora o nazwie DarkKomet oraz zainstalowała zmodyfikowaną bibliotekę stworzoną z myślą o graczach Steam. Narzędzie to służyło do zbierania danych o kontach i przejmowania aktywnych sesji użytkowników platformy.
Kto stoi za atakami?
Analiza Kaspersky’ego wykazała, iż za atakami z wykorzystaniem Wallpaper Engine najprawdopodobniej stoi wiele niezależnych od siebie grup cyberprzestępczych, a nie jedna zorganizowana formacja. Świadczy o tym fakt, że w kampanii wykorzystuje się różne rodziny złośliwego oprogramowania. W zidentyfikowanych przypadkach zainfekowane tapety rozprzestrzeniały m.in. programy kradnące informacje Lumma i Vidar, a także soft ładujący pod postacią RenEngine.
Jak uchronić się przed atakiem?
Aby zminimalizować ryzyko infekcji, Kaspersky zaleca stosowanie się do następujących zasad bezpieczeństwa:
- Zachowanie szczególnej ostrożności podczas pobierania jakichkolwiek aplikacji, nawet jeśli pochodzą one z zaufanych źródeł;
- Weryfikowanie reputacji oraz wiarygodności twórców zawartości przed zainstalowaniem jakichkolwiek materiałów generowanych przez społeczność;
- Poleganie na sprawdzonych rozwiązaniach z zakresu cyberbezpieczeństwa w celu sprawnego wykrywania potencjalnych zagrożeń.
0 komentarzy