В мастерской Steam обнаружены десятки вредоносных обоев для Wallpaper Engine: аккаунты игроков под угрозой

  • Автор темы Автор темы akok
  • Дата начала Дата начала

Переводчик Google

С конца 2025 года в Steam Workshop (встроенной в Steam мастерской для разработки и обмена пользовательским контентом) активно распространяется вредоносное программное обеспечение. Основной целью атакующих является кража аккаунтов игроков, преимущественно из Китая и России. Для заражения злоумышленники эксплуатируют Wallpaper Engine, популярную программу анимации обоев, размещенную в Steam, а именно ее механизм обмена обоями через Steam Workshop. Вредоносное ПО скрывается внутри пакетов обоев, которыми пользователи делятся друг с другом. Запуск подобных обоев может привести к краже учетной записи Steam и установке в системе жертвы, например, бэкдоров или криптомайнеров.

Что такое Wallpaper Engine​

Wallpaper Engine — это приложение, которое позволяет устанавливать анимированные обои на рабочий стол пользователя. Его модификации выпускаются для операционных систем Windows и Android, однако мы исследовали только Windows-версию. Благодаря обширному сообществу Steam приложение достаточно популярно — у него около 100 тысяч активных пользователей в день и чуть меньше одного миллиона отзывов. Wallpaper Engine включает в себя встроенный редактор обоев для создания собственных проектов и поддерживает несколько типов обоев:

  • видео — MP4, WebM и другие форматы;
  • сцены — интерактивные обои, созданные во встроенном редакторе;
  • веб-страницы — HTML-страницы с поддержкой JavaScript, CSS, а также аудио- и видеоресурсов;
  • приложения — активные окна любого стороннего ПО, совместимого с Windows, которые Wallpaper Engine устанавливает в качестве фона рабочего стола.
Последний тип — обои в виде приложения — является самостоятельным программным обеспечением. Среди них могут быть игры, которые запускаются прямо на рабочем столе, планировщики и календари, системы мониторинга, утилиты для отслеживания загрузки видеокарты или процессора и т. д.

Обои-приложения — риск для безопасности​

Сама концепция «обои в виде приложения» открывает путь для запуска чужого кода непосредственно в системе. Злоумышленники воспользовались этой функцией и начали внедрять в данный тип обоев вредоносное программное обеспечение. В Wallpaper Engine, как выше сказано, используются возможности Steam Workshop для обмена созданными обоями. Такой обмен подразумевает, что пользователи могут создавать обои и публиковать их в Steam Workshop в открытом доступе для свободного скачивания и установки, что привлекает злоумышленников.

Мы обнаружили в Steam Workshop десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз:
1782409148190.webp

При анализе таких обоев мы зафиксировали два типа распространения.
  • Архив, внутри которого были исполняемые обои и вредоносные файлы. В качестве вредоносной нагрузки могли использоваться, например, EXE-файлы, DLL-библиотеки и скрипты.
  • В других случаях атакующие дополнительно помещали вредоносный код в архив, защищенный паролем. Пароль должна была вводить жертва, или это делал скрипт. Злоумышленники записывали пароль либо в названии самого архива, либо в файле конфигурации в формате JSON, который устанавливался вместе с исходными файлами обоев. В остальных случаях вредоносная нагрузка запускалась полностью автоматически после выбора и установки обоев пользователем.

Анализ вредоносных обоев с игрой​

1782409195133.webp

На скриншоте выше — образец обоев, который мы обнаружили в декабре 2025 года. После запуска пользователь не видел ничего подозрительного. В обои была встроена игра, которая стартовала корректно и работала без явных проблем, а кнопки управления игровым процессом на рабочем столе оставались функциональными. Однако за кадром происходил процесс заражения, и спустя несколько минут пользователь мог обнаружить, что его учетная запись Steam украдена, а на компьютере работает вредоносное ПО: файлы шифруются «вымогателем», производительность системы упала из-за майнера.

Схема развертывания вредоносного ПО


После запуска обоев с игрой в систему жертвы устанавливался файл‑бэкдор (Synaptics.exe) из семейства DarkKomet, а также исполняемый файл ._cache_GAME1.exe, который инициировал запуск игры NTRaholic.

Одновременно с этим модуль ._cache_GAME1.exe устанавливал модифицированную злоумышленником библиотеку AggregatorHost.dll, которая содержала дополнительную вредоносную нагрузку. Функциональность этого «патча» была ограничена — в первую очередь он искал приложение Steam с целью перехватить данные аккаунта.
Поиск приложения Steam

После этого модифицированная библиотека перехватывала активную сессию из Steam.


Перехват веб-сессии пользователя Steam


В дальнейшем библиотека AggregatorHost.dll отправляла все собранные данные на адрес hxxp://120.48.156[.]17/ey.php, принадлежащий злоумышленникам. Перехваченная сессия могла использоваться для последующего распространения вредоносных обоев в Steam Workshop.

Атрибуция и жертвы​

Представленный выше образец вредоносных обоев — лишь один из множества вариантов, с которыми мы столкнулись в ходе исследования. Через механизм «обои в виде приложения» мы зафиксировали распространение самых разных типов вредоносного ПО: от популярных стилеров до бэкдоров, криптомайнеров, ботнетов.

Значительное разнообразие используемых инструментов позволяет предположить, что за атаками стоят разрозненные хакерские группы, действующие независимо друг от друга. Основной целевой аудиторией атак являются пользователи из Китая, о чем говорит стиль оформления и названия обоев, а также статистика: 89% попыток скачивания вредоносных обоев наши решения зафиксировали именно в Китае. При этом ничего не мешает злоумышленникам проводить подобные кампании и в других регионах. На втором месте по числу скачиваний Россия — 5,5%, далее Сингапур (1,4%), Гонконг (0,9%), Германия (0,9%), Вьетнам (0,9%), Индия и Канада (по 0,5%).
1782409330249.webp


Как защититься​

Наше исследование показывает, что и доверенные площадки, такие как Steam Workshop, могут быть источником заражения. В большинстве случаев мы зафиксировали хорошо нам знакомое вредоносное ПО: к примеру, бэкдор DarkKomet, стилеры Lumma и Vidar, загрузчик RenEngine. Решения «Лаборатории Касперского» способны выявлять и блокировать все перечисленные выше вредоносные нагрузки независимо от степени их сложности, в том числе с использованием методов проактивной защиты. Ниже представлены примеры вердиктов, которые присвоены объектам, выявленным в ходе исследования:

  • HEUR:Trojan-PSW.Win32.gen
  • HEUR:Trojan-PSW.Win32.Python.gen
  • HEUR:Backdoor.Win32.DarkKomet
  • Trojan-Dropper.Python.Agent
  • HEUR:Trojan-Ransom.Win32.Gen.gen
  • PDM:Trojan.Win32.Generic.
На момент публикации обнаруженные вредоносные обои и ссылки на них были удалены командой Steam. Однако, учитывая регулярное появление новых зараженных обоев в Steam Workshop, следует обязательно использовать средства анализа вредоносного ПО перед запуском подобных обоев.

Индикаторы компрометации​

MD5

Управляющие серверы C2

Вредоносные обои

Дополнение от 17 июня​

Уже после выхода статьи нам удалось подтвердить, что вредоносные обои присутствовали в приложении еще с августа 2025 года.

Источник
 
у как любителей клубнички зажали
 
Установка игры через обои это прям что-то новое ...

у как любителей клубнички зажали
Там не так давно любителей RPG Maker тоже всполошили - при запуске игры, она ищет на ПК другие игры на базе такого же движка и подкладывает им dll hijack. Интересно, как обозвать класс такой заразы по классификации вредоносов ...
 
  • Like
Реакции: akok
Вроде починили:

Hey everyone,

this update introduces a security change to Wallpaper Engine. In the next week, we will be permanently removing the "Application" wallpaper type from the public Steam Workshop. While this sounds drastic, it affects merely 0.5% of all wallpapers with actual user numbers being much lower than even that. The overwhelming majority of users never used any applications wallpapers at all, since they are hidden by default in the app.

As part of this transition, we are currently cleaning up the Workshop. Most application wallpapers will start to be set to friends-only for the transition period. If there are any Application-type wallpapers you actively use and want to keep, you have a grace period of around one week to back them up locally.

Why did Application Wallpapers exist in the first place?​

We got this question a lot, so we want to answer this quickly. The "Application" wallpaper type is a legacy feature from the very earliest days of Wallpaper Engine's development.

Back then, our thought process was heavily inspired by the "sideloading" concept on platforms like Android. We wanted to give power-users maximum freedom to create truly custom solutions. The idea was that as long as we provided unskippable warnings and hid these wallpapers from default searches, users who understood and accepted the risks could run custom executables (.exe files) as their background. Looking back, the assumptions we made back then were well intended but quite naive.

Wallpaper Engine has since then evolved into a fully-fledged, highly capable rendering engine. Today, you can achieve almost anything you want to create within Wallpaper Engine itself that was previously only possible with external app wallpapers. App wallpapers are simply not necessary anymore and offer too many downsides and risks for very little benefit.

Why are we removing them now?​

Application wallpapers are essentially just ordinary Windows apps that have full access to your computer. While that allows for some really cool creations, it also opens the door for people with bad intentions. The reality is that executable files cannot be reliably secured with automated systems. There will always be blind spots and ways for people to bypass them. As many of you know, we recently saw people trying to use this old feature to spread malware. At the end of the day, keeping a feature around that lets anyone easily share random .exe files on the Workshop is a risk we are no longer willing to take.

You might wonder why we do not just "freeze" the currently existing safe app wallpapers and leave them up. The simple answer is that the Steam Workshop does not have a feature to lock items from being updated. If we leave an item up, there is always a risk that the original creator gets their Steam account hacked down the line. If that happens, the hacker could easily push a malicious update to a previously safe and popular wallpaper. Even if Steam had advanced security measures like two-factor authentication for Workshop updates, complete removal is the only way to be sure a safe wallpaper does not suddenly turn into a harmful one in the future. We want to be clear that no such case has happened, it is simply a theoretical risk that we considered when making this decision.

The recent news regarding the malware outbreak actually impacted a very tiny number of people due to the safeguards we already had in place (app wallpapers were hidden by default, they required clicking through scary-looking warnings and it is an overall unpopular wallpaper type). Unfortunately, many media reports lacked this nuance, leaning into alarming headlines that misrepresented the scale of the issue. Once those headlines are out there, it becomes a losing battle for us to correct the record and calm things down. Even though the actual threat was highly contained, the panic it caused was very real, and we do not blame anyone for feeling anxious. We want everyone to feel completely safe using Wallpaper Engine, and keeping application wallpapers around is simply no longer compatible with that goal.

What this means for you​

Starting with this new update, you will no longer be able to upload or download Application wallpapers to and from the Steam Workshop.

If you have an Application wallpaper you currently use, please back up the files on your PC within the next week, see this guide on how to do that:
Of course, you can still continue to run custom app wallpapers locally on your own machine using the app, but public distribution through Steam is being sunsetted.

We apologize and hope that you understand.
 
Назад
Сверху Снизу