Крипто-кошмар у Steam: виявлено шкідливе програмне забезпечення, приховане в аніме-шпалерах

Дослідники з кібербезпеки попереджають: Steam Wallpaper Engine використовується для поширення шкідливого ПЗ, що краде криптовалюту

Дослідники з кібербезпеки виявили зростаючу кіберзлочинну кампанію, спрямовану проти користувачів Steam Wallpaper Engine — одного з найпопулярніших застосунків живих шпалер на платформі Steam.

За даними компанії з кібербезпеки Kaspersky, зловмисники зловживають системою розповсюдження Steam Workshop, завантажуючи та поширюючи шкідливі анімовані шпалери, замасковані під легітимний контент. Ці файли часто мають візуально привабливий дизайн, зокрема персонажів у стилі аніме, щоб залучати завантаження та підвищувати залученість.

За повідомленнями, деякі заражені шпалери набрали від тисяч до десятків тисяч встановлень, що демонструє, наскільки легко довірені платформи можуть бути використані для масового поширення шкідливого ПЗ.

Як поширюється шкідливе ПЗ

Ланцюжок атаки відносно простий, але надзвичайно ефективний.

Кіберзлочинці завантажують, здавалося б, нешкідливі пакети шпалер до Steam Workshop, представляючи їх як:

• Анімовані шпалери для робочого столу
• Живі фонові теми
• Популярні візуальні пакети в стилі аніме
• Кастомні художні роботи, створені спільнотою

Після встановлення пакет шпалер запускає приховані шкідливі скрипти, що працюють у фоновому режимі без відома користувача.

Оскільки контент розповсюджується через офіційну екосистему Steam, багато користувачів вважають його безпечним і перевіреним, що знижує підозрілість і підвищує рівень зараження.

Що насправді робить шкідливе ПЗ

Після активації на системі жертви шкідливі шпалери можуть розгортати кілька типів корисного навантаження, призначеного для викрадення конфіденційних даних.

Аналітики з безпеки підтвердили, що кампанія пов'язана з відомими сімействами шкідливого ПЗ для крадіжки інформації, зокрема:

• Lumma Stealer
• Vidar Stealer

Ці інфостілери здатні витягувати широкий спектр особистих і фінансових даних.

Серед цілей — криптовалютні гаманці та облікові дані для входу

За даними Kaspersky, шкідливе ПЗ призначене для збору надзвичайно конфіденційної інформації, зокрема:

• Імена користувачів і паролі від акаунтів Steam
• Активні файли cookie сесій входу
• Збережені облікові дані браузера
• Дані автозаповнення з веббраузерів
• Інформація про криптовалютні гаманці

Націленість на криптовалютні гаманці особливо турбує користувачів віртуальних активів, оскільки викрадені облікові дані можуть призвести до прямих фінансових втрат.

Після витягнення дані передаються на сервери, підконтрольні зловмисникам, де їх можна використати для захоплення акаунтів, крадіжки особистих даних або продажу на підпільних майданчиках.

Чому Steam Wallpaper Engine використовується зловмисниками

Wallpaper Engine широко використовується завдяки своїм функціям налаштування та великій бібліотеці контенту, створеного спільнотою, у Steam Workshop.

Джерело: Wu Blockchain

Ця популярність створює ідеальне середовище для зловмисників, оскільки:

• Користувачі довіряють контенту Steam Workshop
• Завантаження часто сприймаються як автоматичні або низькоризикові
• Візуальний контент (наприклад, шпалери) рідко вважається небезпечним
• Велика база користувачів підвищує потенціал поширення

Експерти з кібербезпеки зазначають, що зловмисники дедалі більше переходять до експлуатації довірених платформ замість підозрілих вебсайтів, що ускладнює виявлення.

Ризики безпеки для користувачів Steam і власників криптовалюти

Ця кампанія підкреслює ширшу проблему кібербезпеки: злиття ігрових платформ і фінансового таргетингу.

Акаунти Steam часто містять цінні цифрові активи, зокрема:

• Куплені ігри
• Торгові інвентарі (у деяких випадках значної вартості)
• Збережені способи оплати
• Підключені акаунти електронної пошти

У поєднанні з націленістю на криптовалютні гаманці потенційний збиток стає значно серйознішим.

Експерти попереджають, що після отримання доступу до файлів cookie сесій або збережених облікових даних зловмисник може обійти традиційні засоби захисту входу, як-от паролі або навіть деякі методи двофакторної автентифікації.

Попередження Kaspersky та деталі виявлення

Kaspersky позначив шкідливу активність і активно відстежує варіанти цієї кампанії.

Виявлені сімейства шкідливого ПЗ, зокрема Lumma та Vidar, відомі тим, що:

• Швидко викрадають дані
• Мають модульні можливості крадіжки
• Здатні обходити базові засоби захисту антивірусів
• Часто оновлюються, щоб уникнути виявлення

Дослідники з безпеки наголошують, що ці інструменти зазвичай продаються як «шкідливе ПЗ як послуга», що дозволяє менш кваліфікованим зловмисникам розгортати складні кампанії.

Як користувачі можуть захистити себе

Експерти з кібербезпеки рекомендують кілька запобіжних заходів для користувачів Steam і власників криптовалюти:

• Завантажуйте шпалери лише від перевірених або надійних авторів
• Уникайте нещодавно завантажених матеріалів Workshop з низькою репутацією
• Регулярно переглядайте встановлені підписки Steam Workshop
• Використовуйте спеціалізовані антивірусні та антишкідливі інструменти
• По можливості зберігайте криптовалютні активи в апаратних гаманцях, а не в розширеннях браузера
• Стежте за активністю акаунту Steam на предмет незвичних входів

Користувачам також рекомендується бути обережними навіть на довірених платформах, оскільки системи верифікації можуть бути використані або обійдені зловмисниками.

Зростаюча тенденція до експлуатації ігрових платформ

Цей інцидент є частиною ширшої тенденції, коли кіберзлочинці дедалі більше атакують ігрові екосистеми.

В останні роки зловмисники використовували:

• Фейкові моди для популярних ігор
• Шкідливі чити для ігор
• Скомпрометовані посилання для розповсюдження через Discord
• Завантаження у Steam Workshop

Мета незмінна: використовувати довіру користувачів і середовища з високою залученістю для масового поширення шкідливого ПЗ.

Аналітики з безпеки попереджають, що зі зростанням ігрових платформ вони, ймовірно, залишатимуться першочерговими цілями для подібних атак.

Висновок

Виявлення шкідливого ПЗ, що розповсюджується через Steam Wallpaper Engine via Steam Workshop, підкреслює зростаючу загрозу кібербезпеці, коли довірені цифрові екосистеми перетворюються на зброю.

Враховуючи, що сімейства шкідливого ПЗ, як-от Lumma та Vidar, здатні красти облікові дані Steam, дані браузера та інформацію про криптовалютні гаманці, ризики виходять далеко за межі простого компрометування акаунту.

Зловмисники продовжують вдосконалювати свою тактику, тому експерти наголошують: користувачі мають залишатися обережними навіть при взаємодії з, здавалося б, нешкідливим контентом, як-от шпалери.

У сучасному ландшафті загроз навіть простий фон робочого столу може стати воротами до фінансової крадіжки та крадіжки особистих даних.