В Steam Workshop нашли вредоносные обои: Wallpaper Engine использовали для кражи аккаунтов и установки стилеров

Исследователи Kaspersky нашли в Steam Workshop десятки вредоносных проектов для Wallpaper Engine — популярной программы для анимированных обоев. Злоумышленники загружали в мастерскую Steam пакеты, которые выглядели как обычные живые обои, но могли запускать вредоносный код, красть аккаунты Steam, устанавливать бэкдоры, инфостилеры, майнеры и шифровальщики.

Кампания длится как минимум с конца 2025 года. Основные цели — пользователи из Китая и России. Также следы заражений нашли в Сингапуре, Гонконге, Германии, Вьетнаме, Индии и Канаде. Часть вредоносных обоев успела набрать тысячи и десятки тысяч скачиваний до удаления.

Wallpaper Engine сам по себе не является вредоносной программой. Это легитимное приложение в Steam, которое позволяет ставить на рабочий стол видео, анимацию, веб-страницы и интерактивные сцены. Проблема возникла из-за формата application wallpaper. Такой тип обоев представляет собой полноценную Windows-программу, которая запускается как фон рабочего стола. Для нормального сценария это дает интерактивные мини-приложения, виджеты и игры на рабочем столе. Для атакующего — удобный способ упаковать исполняемый код в контент, который пользователь воспринимает как картинку.

Схема заражения следующая: пользователь открывает Steam Workshop, находит красивую анимированную заставку, подписывается на неё и применяет через Wallpaper Engine. Внутри пакета вместе с обоями может лежать EXE-файл, DLL-библиотека, скрипт или архив с вредоносным содержимым. В некоторых случаях вредоносный файл лежал рядом с легитимными ресурсами. В других — payload прятали в запароленный архив, а пароль указывали в имени архива или JSON-файле конфигурации. Скрипт сам распаковывал архив и запускал вредоносный код.

Один из разобранных образцов выглядел как рабочая мини-игра на рабочем столе. Пользователь видел привычный интерактивный фон, а в системе тем временем появлялся бэкдор DarkKomet под именем Synaptics.exe и измененная библиотека AggregatorHost.dll. Библиотека искала запущенный Steam, собирала данные аккаунта и отправляла их на управляющий сервер.

Кража Steam-сессии здесь особенно опасна. Если злоумышленник получает доступ к активной сессии, ему не всегда нужен пароль в чистом виде. Аккаунт можно использовать для публикации новых заражённых обоев, комментариев, отзывов и другого контента. Так кампания получает эффект самораспространения: украденные аккаунты выглядят как обычные пользователи Workshop и помогают распространять новые вредоносные пакеты.

Kaspersky указывает на разные семейства вредоносного ПО. Среди них DarkKomet, Lumma, Vidar, RenEngine, криптомайнеры и шифровальщики. То есть, кампания не похожа на работу одной аккуратной группы с единым инструментом. Скорее несколько операторов используют один и тот же удобный канал — популярную площадку с пользовательским контентом и формат обоев, который умеет запускать код.

Lumma и Vidar относятся к инфостилерам. Такие программы крадут пароли, cookies, токены сессий, данные браузеров, криптокошельки, сведения о системе и файлы, которые могут быть полезны для дальнейшей атаки. DarkKomet — старый, но до сих пор встречающийся троян удаленного доступа. Он предоставляет оператору возможность управлять зараженной машиной, получать данные и закрепляться в системе. Майнеры используют ресурсы компьютера для добычи криптовалюты. Шифровальщики блокируют файлы и требуют выкуп.

Особенно неприятно, что Steam Workshop для многих пользователей выглядит безопаснее случайного сайта. Контент открыт внутри Steam, у него есть превью, оценки, подписки, комментарии и автор. Это снижает настороженность. Пользователь не скачивает «кряк» с форума, а ставит обои через знакомый клиент Steam.

Отдельный фактор — аудитория Wallpaper Engine. Программа популярна у геймеров и любителей кастомизации рабочего стола. В Workshop много аниме-обоев, игровых сцен, интерактивных эффектов и фанатского контента. Такие материалы часто скачивают быстро и без проверки автора. Чем ярче превью, тем выше шанс, что пользователь подпишется.

Valve удалила выявленные вредоносные обои после уведомления. Это снижает риск по известным пакетам, но не закрывает сам класс проблемы. Steam Workshop остается площадкой с пользовательским контентом, а application wallpaper — форматом, где обои могут быть программой. Новый пакет с другим названием и похожей техникой может появиться снова.

Для SOC сигналы — запуск неизвестных EXE и DLL из каталогов Steam Workshop, появление процессов с маскировочными именами, сетевые обращения после применения новых обоев, активность Synaptics.exe вне легитимного контекста, попытки доступа к данным Steam, браузерным профилям и криптокошелькам. Отдельно стоит мониторить загрузки из папок Wallpaper Engine и автозапуск после установки новых Workshop-элементов.

Откройте Wallpaper Engine и посмотрите список установленных обоев. Удалите все, что скачивалось из неизвестных источников, выглядит подозрительно или относится к application wallpaper. После этого проверьте систему защитным ПО и посмотрите, не появились ли неизвестные процессы, новые элементы автозапуска и странные сетевые соединения.

В Steam смените пароль, завершите все активные сессии и проверьте Steam Guard. Также проверьте почту, к которой привязан аккаунт, потому что угон Steam часто сопровождается попытками закрепиться через email.