Криптокошмар в Steam: вредоносное ПО, скрытое в аниме-обоях, разоблачено

Исследователи безопасности предупреждают: Steam Wallpaper Engine использован для распространения вредоносного ПО, похищающего криптовалюту

Исследователи в области безопасности обнаружили растущую кибerpреступную кампанию, направленную против пользователей Steam Wallpaper Engine — одного из самых популярных приложений для живых обоев на платформе Steam.

По данным компании по кибербезопасности Kaspersky, злоумышленники злоупотребляют системой распространения Steam Workshop для загрузки и распространения вредоносных анимированных обоев, замаскированных под легитимный контент. Такие файлы нередко отличаются привлекательным дизайном, в том числе персонажами в стиле аниме, чтобы привлечь загрузки и повысить вовлечённость.

По имеющимся данным, некоторые заражённые обои набрали от нескольких тысяч до десятков тысяч установок, что наглядно демонстрирует, насколько легко доверенные платформы могут быть использованы для масштабного распространения вредоносного ПО.

Как доставляется вредоносное ПО

Цепочка атаки относительно проста, но крайне эффективна.

Киберпреступники загружают внешне безобидные пакеты обоев в Steam Workshop, представляя их как:

• Анимированные обои для рабочего стола
• Живые фоновые темы
• Популярные визуальные пакеты в стиле аниме
• Пользовательские художественные работы, созданные сообществом

После установки пакет обоев запускает скрытые вредоносные скрипты, работающие в фоновом режиме без ведома пользователя.

Поскольку контент распространяется через официальную экосистему Steam, многие пользователи считают его безопасным и проверенным, что снижает подозрительность и увеличивает уровень заражения.

Что на самом деле делает вредоносное ПО

После активации в системе жертвы вредоносные обои могут развёртывать несколько типов полезных нагрузок, предназначенных для кражи конфиденциальных данных.

Аналитики по безопасности подтвердили, что кампания связана с известными семействами вредоносных программ-инфостилеров, в том числе:

• Lumma Stealer
• Vidar Stealer

Эти инфостилеры способны извлекать широкий спектр личных и финансовых данных.

Среди целей — криптовалютные кошельки и учётные данные для входа

По данным исследований Kaspersky, вредоносное ПО разработано для сбора строго конфиденциальной информации, в том числе:

• Имена пользователей и пароли от аккаунтов Steam
• Активные куки сессий входа
• Сохранённые учётные данные браузера
• Данные автозаполнения из веб-браузеров
• Информация о криптовалютных кошельках

Наличие в списке целей криптовалютных кошельков особенно тревожно для пользователей цифровых активов, поскольку похищенные учётные данные могут привести к прямым финансовым потерям.

После извлечения данные передаются на серверы, контролируемые злоумышленниками, где они могут быть использованы для захвата аккаунтов, кражи личных данных или проданы на подпольных торговых площадках.

Почему Steam Wallpaper Engine используется злоумышленниками

Wallpaper Engine широко используется благодаря возможностям кастомизации и обширной библиотеке контента, созданного сообществом в Steam Workshop.

Источник: Wu Blockchain

Эта популярность создаёт идеальную среду для злоумышленников, поскольку:

• Пользователи доверяют контенту Steam Workshop
• Загрузки воспринимаются как автоматические или малорисковые
• Визуальный контент (например, обои) редко воспринимается как опасный
• Большая пользовательская база увеличивает потенциал распространения

Эксперты по кибербезопасности отмечают, что злоумышленники всё чаще переключаются на эксплуатацию доверенных платформ вместо подозрительных сайтов, что существенно затрудняет обнаружение угроз.

Риски безопасности для пользователей Steam и владельцев криптовалюты

Кампания подчёркивает более широкую проблему кибербезопасности: слияние игровых платформ и финансового таргетинга.

Аккаунты Steam нередко содержат ценные цифровые активы, такие как:

• Купленные игры
• Торговые инвентари (в ряде случаев значительной стоимости)
• Сохранённые способы оплаты
• Привязанные адреса электронной почты

В сочетании с нацеленностью на криптовалютные кошельки потенциальный ущерб становится значительно серьёзнее.

Эксперты предупреждают: как только злоумышленник получает доступ к куки сессий или сохранённым учётным данным пользователя, он может обойти традиционные средства защиты входа — пароли и даже некоторые методы двухфакторной аутентификации.

Предупреждение Kaspersky и подробности об обнаруженных угрозах

Kaspersky зафиксировала вредоносную активность и активно отслеживает варианты данной кампании.

Обнаруженные семейства вредоносных программ, в особенности Lumma и Vidar, известны следующим:

• Быстрая эксфильтрация данных
• Модульные возможности кражи информации
• Способность обходить базовую антивирусную защиту
• Частые обновления для уклонения от обнаружения

Исследователи безопасности подчёркивают, что эти инструменты широко продаются как «вредоносное ПО как услуга», позволяя менее квалифицированным злоумышленникам проводить сложные кампании.

Как пользователи могут защитить себя

Эксперты по кибербезопасности рекомендуют пользователям Steam и владельцам криптовалюты соблюдать ряд мер предосторожности:

• Загружайте обои только от проверенных или надёжных авторов
• Избегайте недавно загруженных материалов Workshop с низкой репутацией
• Регулярно проверяйте установленные подписки Steam Workshop
• Используйте специализированные антивирусные инструменты и средства защиты от вредоносного ПО
• По возможности храните криптоактивы в аппаратных кошельках, а не в расширениях браузера
• Отслеживайте активность аккаунта Steam на предмет подозрительных входов

Пользователям также рекомендуется проявлять осторожность даже на доверенных платформах, поскольку системы верификации могут быть использованы или обойдены злоумышленниками.

Растущая тенденция эксплуатации игровых платформ

Этот инцидент является частью более широкой тенденции, при которой киберпреступники всё активнее нацеливаются на игровые экосистемы.

В последние годы злоумышленники использовали:

• Поддельные моды для популярных игр
• Вредоносные читы для игр
• Скомпрометированные ссылки для распространения через Discord
• Загрузки в Steam Workshop

Цель неизменна: использовать доверие пользователей и среду с высокой вовлечённостью для масштабного распространения вредоносного ПО.

Аналитики безопасности предупреждают, что по мере роста игровых платформ они, вероятно, останутся главными мишенями для подобных атак.

Заключение

Обнаружение вредоносного ПО, распространяемого через Steam Wallpaper Engine посредством Steam Workshop, указывает на растущую угрозу кибербезопасности, при которой доверенные цифровые экосистемы превращаются в оружие.

Семейства вредоносных программ, такие как Lumma и Vidar, способны похищать учётные данные Steam, данные браузера и информацию о криптовалютных кошельках, а значит, риски выходят далеко за рамки простой компрометации аккаунта.

По мере того как злоумышленники продолжают совершенствовать свою тактику, эксперты настаивают на том, что пользователи должны сохранять бдительность даже при взаимодействии с внешне безобидным контентом, таким как обои.

В современном ландшафте угроз даже простой фон рабочего стола может стать воротами к финансовым потерям и краже личных данных.