- Автор темы
- #1
Аналитики «Лаборатории Касперского» обнаружили в Steam Workshop десятки вредоносных проектов для Wallpaper Engine. Злоумышленники используют встроенный механизм обмена обоями для распространения малвари, кражи аккаунтов Steam, установки бэкдоров, криптомайнеров и других вредоносов.
По данным исследователей, вредоносная кампания активна как минимум с конца 2025 года, и основной интерес для атакующих представляют пользователи из Китая и России, хотя жертвами могут стать и игроки из других стран.
Wallpaper Engine — популярное в Steam приложение для создания и использования анимированных обоев. Wallpaper Engine включает встроенный редактор обоев, предназначенный для создания собственных проектов, и поддерживает несколько типов обоев. Помимо видео, сцен и веб-страниц программа поддерживает особый тип контента — обои-приложения. По сути, это полноценные Windows-приложения, которые могут запускаться прямо на рабочем столе. Среди них встречаются игры, системы мониторинга, календари и другие утилиты.
Именно последним типом обоев и злоупотребляют хакеры: поскольку обои-приложения представляют собой обычный исполняемый код, через них можно запускать не только легитимные программы, но и вредоносные компоненты.
Общая схема атаки
Специалисты обнаружили в Steam Workshop десятки зараженных проектов, некоторые из которых скачали тысячи и даже десятки тысяч раз. В одних случаях вредоносная нагрузка поставлялась вместе с обоями в виде EXE-файлов, DLL-библиотек или скриптов. В других атакующие дополнительно скрывали вредоносный код в защищенные паролем архивы. При этом иногда пароль приходилось вводить самому пользователю, а иногда его автоматически извлекал встроенный скрипт.
Вредоносные обои
Эксперты пишут, что один из обнаруженных образцов малвари маскировался под игровые обои. После запуска пользователь видел полностью рабочую игру и не замечал ничего подозрительного. Однако параллельно в системе запускалась цепочка заражения. Такие обои устанавливали бэкдор семейства DarkKomet под именем Synaptics.exe и запускали дополнительный компонент ._cache_GAME1.exe. Последний отвечал не только за старт встроенной игры, но и за развертывание модифицированной библиотеки AggregatorHost.dll.
Основной задачей этой DLL был поиск запущенного клиента Steam и перехват активной пользовательской сессии. Собранные данные отправлялись на сервер злоумышленников, после чего украденную сессию можно было использовать для захвата аккаунта или дальнейшего распространения вредоносных обоев через Steam Workshop.
Перехват сессии пользователя Steam
По словам исследователей, найденный образец — лишь один из множества вариантов. Через Wallpaper Engine распространялись самые разные семейства вредоносов, включая стилеры Lumma и Vidar, загрузчик RenEngine, бэкдоры, ботнет-клиенты и криптомайнеры. Это свидетельствует о том, что за атаками, вероятно, стоят разные группировки.
Больше всего попыток загрузки зараженных обоев пришлось на Китай — около 89% всех зафиксированных случаев. На втором месте оказалась Россия с долей 5,5%. Далее следуют Сингапур, Гонконг, Германия, Вьетнам, Индия и Канада.
В настоящее время модераторы Steam удалили обнаруженные вредоносные обои и ссылки на них. Однако исследователи предупреждают, что новые зараженные обои продолжают регулярно появляться в Steam Workshop, поэтому пользователям рекомендуется с осторожностью относиться к обоям-приложениям и перед запуском проверять такой контент защитными решениями.
По данным исследователей, вредоносная кампания активна как минимум с конца 2025 года, и основной интерес для атакующих представляют пользователи из Китая и России, хотя жертвами могут стать и игроки из других стран.
Wallpaper Engine — популярное в Steam приложение для создания и использования анимированных обоев. Wallpaper Engine включает встроенный редактор обоев, предназначенный для создания собственных проектов, и поддерживает несколько типов обоев. Помимо видео, сцен и веб-страниц программа поддерживает особый тип контента — обои-приложения. По сути, это полноценные Windows-приложения, которые могут запускаться прямо на рабочем столе. Среди них встречаются игры, системы мониторинга, календари и другие утилиты.
Именно последним типом обоев и злоупотребляют хакеры: поскольку обои-приложения представляют собой обычный исполняемый код, через них можно запускать не только легитимные программы, но и вредоносные компоненты.
Общая схема атакиСпециалисты обнаружили в Steam Workshop десятки зараженных проектов, некоторые из которых скачали тысячи и даже десятки тысяч раз. В одних случаях вредоносная нагрузка поставлялась вместе с обоями в виде EXE-файлов, DLL-библиотек или скриптов. В других атакующие дополнительно скрывали вредоносный код в защищенные паролем архивы. При этом иногда пароль приходилось вводить самому пользователю, а иногда его автоматически извлекал встроенный скрипт.
Вредоносные обоиЭксперты пишут, что один из обнаруженных образцов малвари маскировался под игровые обои. После запуска пользователь видел полностью рабочую игру и не замечал ничего подозрительного. Однако параллельно в системе запускалась цепочка заражения. Такие обои устанавливали бэкдор семейства DarkKomet под именем Synaptics.exe и запускали дополнительный компонент ._cache_GAME1.exe. Последний отвечал не только за старт встроенной игры, но и за развертывание модифицированной библиотеки AggregatorHost.dll.
Основной задачей этой DLL был поиск запущенного клиента Steam и перехват активной пользовательской сессии. Собранные данные отправлялись на сервер злоумышленников, после чего украденную сессию можно было использовать для захвата аккаунта или дальнейшего распространения вредоносных обоев через Steam Workshop.
Перехват сессии пользователя SteamПо словам исследователей, найденный образец — лишь один из множества вариантов. Через Wallpaper Engine распространялись самые разные семейства вредоносов, включая стилеры Lumma и Vidar, загрузчик RenEngine, бэкдоры, ботнет-клиенты и криптомайнеры. Это свидетельствует о том, что за атаками, вероятно, стоят разные группировки.
Больше всего попыток загрузки зараженных обоев пришлось на Китай — около 89% всех зафиксированных случаев. На втором месте оказалась Россия с долей 5,5%. Далее следуют Сингапур, Гонконг, Германия, Вьетнам, Индия и Канада.
В настоящее время модераторы Steam удалили обнаруженные вредоносные обои и ссылки на них. Однако исследователи предупреждают, что новые зараженные обои продолжают регулярно появляться в Steam Workshop, поэтому пользователям рекомендуется с осторожностью относиться к обоям-приложениям и перед запуском проверять такой контент защитными решениями.