С конца 2025 года в Steam Workshop активно распространяется вредоносное программное обеспечение с целью кражи аккаунтов игроков. Основной мишенью атакующих стали пользователи из Китая и России. Злоумышленники эксплуатируют популярное приложение Wallpaper Engine, предназначенное для анимации обоев рабочего стола, и его механизм обмена контентом через Steam Workshop.
Описание
Wallpaper Engine позволяет устанавливать анимированные обои на рабочий стол. Приложение завоевало значительную популярность: ежедневно его используют около ста тысяч человек, а общее количество отзывов приближается к миллиону. Программа включает встроенный редактор и поддерживает несколько типов обоев. Среди них видеоформаты, интерактивные сцены, веб-страницы с поддержкой JavaScript и, что самое важное, приложения - самостоятельные программы, которые Wallpaper Engine запускает в качестве фона рабочего стола.
Именно последний тип обоев представляет собой прямую угрозу безопасности. Концепция "обои в виде приложения" позволяет запускать произвольный код в системе пользователя. Злоумышленники воспользовались этой функцией и начали внедрять вредоносное ПО непосредственно в подобные обои. Механизм обмена контентом через Steam Workshop позволяет любому желающему публиковать свои творения в открытом доступе для свободного скачивания, что и привлекло атакующих.
Исследователи зафиксировали в Steam Workshop десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз. Проведённый анализ выявил два основных сценария распространения. В первом случае архив с обоями содержал исполняемые файлы и вредоносные компоненты, такие как EXE-файлы, DLL-библиотеки и скрипты, которые запускались автоматически. Во втором случае злоумышленники помещали вредоносную нагрузку в архив, защищённый паролем. Пароль был записан либо в имени самого архива, либо в файле конфигурации JSON, поставляемом вместе с обоями. В этой ситуации запуск происходил либо после ввода пароля жертвой, либо автоматически с помощью скрипта.
В качестве примера исследователи приводят образец вредоносных обоев, обнаруженный в декабре 2025 года. Пользователь, запустив их, видел на рабочем столе полноценную игру, которая работала корректно, все кнопки управления оставались функциональными. Однако за кадром происходило заражение. Спустя несколько минут жертва могла обнаружить, что её учётная запись Steam украдена, а на компьютере запущены вредоносные программы: одни файлы шифровались вымогателем, другие - добывали криптовалюту, что вызывало падение производительности системы.
Схема атаки выглядела следующим образом. После запуска обоев с игрой в систему устанавливался файл-бэкдор (средство удалённого доступа) из семейства DarkKomet, а также исполняемый файл, который непосредственно запускал игру. Одновременно с этим другой модуль устанавливал модифицированную библиотеку AggregatorHost.dll, содержавшую дополнительную вредоносную нагрузку. Функциональность этой библиотеки была нацелена на поиск приложения Steam с целью перехвата данных учётной записи. После обнаружения активной сессии Steam модифицированная библиотека перехватывала её и отправляла все собранные данные на сервер злоумышленников. Перехваченная сессия могла использоваться для дальнейшего распространения вредоносных обоев в Steam Workshop.
В ходе исследования были зафиксированы случаи распространения самых разных типов вредоносного ПО через механизм "обои в виде приложения". Среди обнаруженных угроз оказались стилеры, бэкдоры, криптомайнеры и компоненты ботнетов. Значительное разнообразие используемых инструментов указывает на то, что за атаками стоят независимые друг от друга хакерские группы, действующие разрозненно.
Основная целевая аудитория этих атак - пользователи из Китая. На это указывает стиль оформления и названия вредоносных обоев, а также статистика: 89% попыток скачивания подобных файлов были зафиксированы именно в Китае. На втором месте по числу скачиваний находится Россия с показателем 5,5%, за ней следуют Сингапур (1,4%), Гонконг (0,9%), Германия (0,9%), Вьетнам (0,9%), Индия и Канада (по 0,5%). При этом нет никаких препятствий для проведения подобных кампаний в других регионах. Атака через легитимное приложение в официальном магазине Steam демонстрирует, что даже проверенные платформы и популярные программы не гарантируют полной безопасности, если их функциональность предполагает запуск пользовательского контента.
Индикаторы компрометации
URLs
- http://120.48.156.17/
- http://120.48.156.17/ey.php?ka=user1&id/
- http://202.144.192.29
- http://202.144.192.29/audit.php/
- http://202.144.192.29/download2/Themes2.zip/
- http://brightly.to/
- http://brightly.to/download2/Themeszip/
- https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download/
- https://steamcommunity.com/sharedfiles/filedetails/?id=3436875036
- https://steamcommunity.com/sharedfiles/filedetails/?id=3462675635
- https://steamcommunity.com/sharedfiles/filedetails/?id=3553253793
- https://steamcommunity.com/sharedfiles/filedetails/?id=3556591375
- https://steamcommunity.com/sharedfiles/filedetails/?id=3584318845
- https://steamcommunity.com/sharedfiles/filedetails/?id=3591930233
- https://steamcommunity.com/sharedfiles/filedetails/?id=3601924072
- https://steamcommunity.com/sharedfiles/filedetails/?id=3603213159
- https://steamcommunity.com/sharedfiles/filedetails/?id=3605588743
- https://steamcommunity.com/sharedfiles/filedetails/?id=3605621824
- https://steamcommunity.com/sharedfiles/filedetails/?id=3610240788
- https://steamcommunity.com/sharedfiles/filedetails/?id=3610366547
- https://steamcommunity.com/sharedfiles/filedetails/?id=3633494498
- https://steamcommunity.com/sharedfiles/filedetails/?id=3635875825
- https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1/
MD5
- 0f4f01c6d495abb37403072dd017ce8d
- 18dedc0009f0927cba6425c84cce9883
- 20965254e29104986e11939decd39549
- 5620f01284329f561b1839a36be55355
- 74414ed4b63aadec039b603c32762b80
- 8c2cc585ad8a13a72a704c0fda0c9854
- 95856f2ce428c728d9781d3296558068
- af080780cca2acd1d082ce01e7cc346a
- b9fa763a53da3eea742d0f3c845a8c09
- c133c3dd9f7d6934598025047df41abf
- d1693bbff456ae8fa3360446706df6da
- ded08ae5df7f1b12e5fdb767dbbed0b1
- fe1f6485013cd5e6d5cf718049b0b8d6