来源: https://www.kaspersky.co.uk/about/press-releases/kaspersky-discovered-a-malware-campaign-targeting-steam-users-through-infected-wallpaper
攻击者滥用 Steam 创意工坊散布伪装成桌面壁纸的恶意软件,导致系统感染和账户被盗。
卡巴斯基研究人员发现了一个正在进行的恶意软件传播活动,该活动利用了Steam创意工坊和Wallpaper Engine(一款用于创建和分享动态桌面壁纸的热门Steam应用程序)。研究人员发现了多个受感染的壁纸包,这些壁纸包的下载量已达数千次。中国和俄罗斯的Steam用户是主要攻击目标,其他受害者分布在新加坡、香港、德国、越南、印度和加拿大。攻击者的主要目标是窃取游戏账号并部署其他恶意软件。
Steam Workshop 是 Steam 游戏平台的内置功能,用户可以轻松查找、安装和管理用户生成的内容,例如模组、自定义地图、游戏物品和壁纸。Wallpaper Engine 应用支持多种壁纸格式,包括视频、交互式场景、网页和应用程序。
基于应用程序的壁纸功能允许可执行程序直接在用户的 Windows 计算机上运行,这使得攻击者能够以合法内容的伪装传播恶意软件。卡巴斯基在 Steam 创意工坊中发现了数十个受感染的壁纸包。其中许多壁纸包的下载量高达数千甚至数万次。
攻击者主要使用两种传播方式。在某些情况下,恶意可执行文件、DLL 和脚本直接与壁纸包捆绑在一起。在另一些情况下,攻击者将恶意软件隐藏在受密码保护的压缩包中,密码嵌入在压缩包名称或配置文件中。壁纸安装完成后,恶意代码会自动执行。
例如,2025年12月发现的一个恶意壁纸样本起初看起来运行正常,可以启动嵌入式桌面游戏,且没有任何明显的入侵迹象。然而,该壁纸在后台部署了DarkKomet后门程序,并安装了一个针对Steam用户的修改版库:它会窃取账户信息并劫持活跃的Steam会话。
这些攻击很可能是由多个独立的威胁行为者而非单一组织发起的,并且不局限于单一恶意软件家族。在多个案例中,卡巴斯基检测到恶意壁纸传播 Lumma 和 Vidar 信息窃取程序以及 RenEngine 加载器。卡巴斯基的安全解决方案能够检测并阻止与此次攻击活动相关的所有恶意软件。
“受信任的平台可能被滥用以传播恶意软件:这些攻击依赖于用户对合法生态系统中托管内容的信任。虽然涉及的许多恶意软件家族都广为人知,但这种传播机制使得攻击者能够通过看似无害的内容触及大量潜在受害者 ,”卡巴斯基网络安全专家 Maxim Starodubov 评论道。