Steam Workshop i Wallpaper Engine wykorzystane do dystrybucji malware

Wprowadzenie do problemu / definicja

Platformy z treściami tworzonymi przez społeczność od dawna znajdują się w obszarze zainteresowania cyberprzestępców. Najnowszy przypadek związany ze Steam Workshop i aplikacją Wallpaper Engine pokazuje, że nawet legalny ekosystem dodatków wizualnych może zostać wykorzystany do dystrybucji złośliwego oprogramowania.

Problem dotyczy przede wszystkim tapet uruchamianych jako aplikacje, które nie są jedynie elementem graficznym, lecz mogą wykonywać kod w systemie Windows. To sprawia, że zwykła personalizacja pulpitu staje się potencjalnym wektorem infekcji.

W skrócie

Badacze bezpieczeństwa wykryli kampanię, w której złośliwe tapety publikowane w Steam Workshop były instalowane przez użytkowników za pośrednictwem Wallpaper Engine. Po uruchomieniu takich elementów dochodziło do instalacji dodatkowych komponentów malware.

• Wykryto backdoory i stealery informacji.
• Atakujący kradli dane dostępowe do kont Steam.
• W części przypadków instalowano koparki kryptowalut, loadery botnetów oraz ransomware.
• Choć część złośliwych pozycji usunięto, sam model ataku pozostaje aktualny.

Kontekst / historia

Wallpaper Engine to popularne narzędzie do personalizacji pulpitu dostępne w ekosystemie Steam. Oprogramowanie obsługuje różne typy tapet, w tym materiały wideo, sceny interaktywne, strony internetowe oraz tapety-aplikacje.

Z perspektywy bezpieczeństwa kluczowe znaczenie ma właśnie ostatnia z tych kategorii. Tego typu zawartość może uruchamiać natywne aplikacje Windows, co oznacza, że granica między dekoracyjną treścią a wykonywalnym kodem praktycznie zanika.

Według ustaleń badaczy, atakujący wykorzystywali ten mechanizm co najmniej od końca 2025 roku. Do Steam Workshop trafiały pozornie nieszkodliwe pakiety, które po aktywacji inicjowały pobranie lub uruchomienie dodatkowych ładunków malware.

Analiza techniczna

Sedno zagrożenia tkwi w architekturze funkcji application wallpapers. W odróżnieniu od zwykłych tapet nie są one statycznym zasobem, lecz komponentem mogącym uruchamiać kod w systemie operacyjnym.

W analizowanych przypadkach złośliwe pliki były osadzane bezpośrednio w pakiecie tapety albo ukrywane w chronionych archiwach. Mechanizm socjotechniczny był prosty: użytkownik miał uwierzyć, że instaluje atrakcyjny dodatek wizualny, prostą grę lub nieszkodliwą miniaplikację.

Jeden z opisanych przykładów podszywał się pod działającą zgodnie z oczekiwaniami grę, co miało ograniczyć podejrzenia ofiary. Równolegle w tle uruchamiany był backdoor z rodziny DarkKomet, a dodatkowo wdrażano zmodyfikowaną bibliotekę AggregatorHost.dll odpowiedzialną za wyszukiwanie artefaktów związanych z kontami Steam i kradzież danych uwierzytelniających.

Badacze wskazali również na obecność innych rodzin malware, takich jak Lumma i Vidar, znanych z wykradania danych z przeglądarek, portfeli kryptowalutowych i lokalnych magazynów haseł. W niektórych próbkach obserwowano także koparki kryptowalut, loadery botnetów, RanEngine oraz ransomware.

To sugeruje, że nie chodziło wyłącznie o pojedynczą kampanię jednego aktora, ale o szersze wykorzystywanie tego samego kanału dystrybucji przez różne grupy zagrożeń. Atak ten wpisuje się w model nadużycia zaufanej platformy, w którym użytkownik pobiera złośliwą zawartość z rozpoznawalnego i legalnego źródła.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem ataku jest przejęcie konta Steam i utrata danych uwierzytelniających. Może to prowadzić do utraty dostępu do biblioteki gier, cyfrowych przedmiotów oraz środków przypisanych do profilu.

Ryzyko wykracza jednak poza samo konto gracza. Backdoor może zapewnić trwały dostęp do hosta, stealer umożliwia kradzież haseł i danych finansowych, a miner powoduje zwiększone obciążenie zasobów systemowych.

Jeśli zaatakowane urządzenie jest wykorzystywane również do pracy, incydent może przerodzić się w naruszenie bezpieczeństwa organizacji. Zaufanie do platformy społecznościowej dodatkowo zwiększa skuteczność takiego scenariusza, ponieważ duża liczba pobrań lub pozytywna ekspozycja mogą tworzyć fałszywe poczucie wiarygodności.

Rekomendacje

Użytkownicy powinni zachować szczególną ostrożność wobec dodatków instalowanych z platform społecznościowych, zwłaszcza jeśli uruchamiają one kod wykonywalny. Dotyczy to nie tylko Wallpaper Engine, ale również innych aplikacji opartych na treściach generowanych przez użytkowników.

• Instalować wyłącznie treści pochodzące od znanych i wiarygodnych autorów.
• Unikać pakietów typu aplikacyjnego, jeśli ich działanie nie jest w pełni zrozumiałe.
• Skanować pobierane elementy narzędziami antymalware z aktualnymi sygnaturami.
• Włączyć ochronę konta Steam, w tym uwierzytelnianie wieloskładnikowe.
• Monitorować nietypowe biblioteki DLL, wpisy autostartu i procesy potomne.
• Nie używać tego samego hosta do celów prywatnych i służbowych, jeśli nie jest to konieczne.

W środowiskach firmowych zalecane jest wdrożenie polityk application control, ograniczeń uruchamiania binariów z katalogów użytkownika, sandboxingu oraz monitorowania aplikacji personalizacyjnych przez systemy EDR i SOC.

Podsumowanie

Incydent związany ze Steam Workshop i Wallpaper Engine pokazuje, że nawet narzędzia kojarzone z rozrywką mogą zostać przekształcone w skuteczny kanał dostarczania malware. Nie był to wyłącznie przypadek złośliwej tapety, lecz przykład nadużycia zaufanego ekosystemu dystrybucji treści.

Najważniejszy wniosek jest jasny: każda funkcja pozwalająca uruchamiać aktywną zawartość powinna być traktowana jak potencjalny mechanizm wykonania kodu. Dla użytkowników oznacza to większą ostrożność przy instalowaniu dodatków, a dla organizacji konieczność twardszej kontroli aplikacji i segmentacji ryzyka.

Źródła

• https://www.bleepingcomputer.com/news/security/steam-workshop-abused-to-spread-malware-via-wallpaper-engine-app/
• https://securelist.com/
• https://partner.steamgames.com/doc/features/workshop
• https://help.wallpaperengine.io/