Steam Workshop jako kanał dystrybucji malware przez Wallpaper Engine

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Steam Workshop, czyli platforma dystrybucji treści tworzonych przez społeczność, został wykorzystany jako kanał rozprzestrzeniania złośliwego oprogramowania za pośrednictwem aplikacji Wallpaper Engine. Szczególne zagrożenie wiąże się z tzw. application wallpapers, które mogą uruchamiać natywne aplikacje Windows jako element pulpitu.

W praktyce oznacza to, że pozornie atrakcyjna lub nieszkodliwa tapeta może pełnić rolę nośnika malware. Użytkownik, ufając znanej platformie i popularnemu narzędziu do personalizacji systemu, może nie zauważyć, że wraz z tapetą aktywuje szkodliwy kod działający w tle.

W skrócie

Badacze bezpieczeństwa wykryli kampanię, w której cyberprzestępcy publikowali złośliwe tapety w Steam Workshop z myślą o użytkownikach Wallpaper Engine. Zidentyfikowane próbki były pobierane od tysięcy do nawet dziesiątek tysięcy razy, co pokazuje realną skalę zagrożenia.

Analiza ujawniła obecność różnych rodzin malware, w tym infostealerów, backdoorów, loaderów botnetów, koparek kryptowalut oraz ransomware. Choć wskazane pozycje zostały usunięte po nagłośnieniu sprawy, sam model ataku pozostaje aktualny i może zostać wykorzystany ponownie.

Kontekst / historia

Wallpaper Engine to popularne narzędzie umożliwiające personalizację pulpitu za pomocą różnych formatów treści, takich jak wideo, sceny interaktywne, strony internetowe oraz aplikacje. Największe ryzyko bezpieczeństwa dotyczy właśnie ostatniego typu zawartości, ponieważ pozwala on uruchamiać pliki wykonywalne w środowisku użytkownika.

Według ujawnionych ustaleń ataki trwały co najmniej od końca 2025 roku. Napastnicy publikowali spreparowane pakiety w Steam Workshop, maskując je jako zwykłe materiały rozrywkowe lub użytkowe, licząc na to, że legalny kanał dystrybucji obniży poziom podejrzliwości odbiorców.

To kolejny przykład nadużywania zaufanych ekosystemów cyfrowych. Coraz częściej obserwuje się sytuacje, w których przestępcy nie muszą wykorzystywać zaawansowanych exploitów, lecz po prostu podszywają się pod legalne treści dostępne na popularnych platformach.

Analiza techniczna

Kluczowym elementem ataku była funkcja application wallpapers. W odróżnieniu od statycznych czy multimedialnych tapet ten typ zawartości może uruchamiać natywne aplikacje Windows, przez co granica między personalizacją pulpitu a wykonaniem kodu staje się bardzo cienka.

Złośliwe komponenty były dostarczane na dwa główne sposoby. W części przypadków malware osadzano bezpośrednio w pakiecie tapety. W innych wykorzystywano archiwa zabezpieczone hasłem, które miały skłonić użytkownika do ręcznego uruchomienia dodatkowej zawartości, zwiększając skuteczność socjotechniki.

Jedna z analizowanych próbek podszywała się pod grę, aby nie wzbudzać podejrzeń. W tle instalowany był backdoor powiązany z rodziną DarkKomet, a dodatkowo wdrażano zmodyfikowaną bibliotekę systemową służącą do wyszukiwania danych związanych z kontami Steam i kradzieży poświadczeń.

Wśród zidentyfikowanych zagrożeń znalazły się także rodziny Lumma i Vidar, znane z kradzieży haseł, ciasteczek sesyjnych, danych przeglądarek, portfeli kryptowalutowych oraz innych artefaktów przechowywanych lokalnie. Obecność minerów, loaderów botnetów i ransomware sugeruje, że nie chodziło o pojedynczą operację jednego aktora, lecz o szerszy model nadużycia wykorzystywany przez różne grupy.

Z technicznego punktu widzenia jest to forma ataku na łańcuch dostarczania treści użytkownika w obrębie platformy gamingowej. Zaufanie do legalnej infrastruktury dystrybucyjnej zmniejsza czujność ofiary, a legalna funkcja uruchamiania aplikacji ogranicza potrzebę stosowania bardziej skomplikowanych metod infekcji.

Konsekwencje / ryzyko

Najbardziej oczywistym skutkiem jest ryzyko kompromitacji kont Steam, co może prowadzić do przejęcia biblioteki gier, przedmiotów cyfrowych, środków finansowych oraz danych użytkownika. W praktyce szkody mogą jednak wykraczać daleko poza sam ekosystem gamingowy.

Aktywność infostealerów oznacza możliwość utraty zapisanych haseł, tokenów sesyjnych, danych przeglądarek, informacji systemowych oraz zasobów związanych z kryptowalutami. Z kolei instalacja backdoora otwiera drogę do dalszego zdalnego dostępu, pobierania kolejnych ładunków i utrzymywania trwałej obecności w systemie.

W środowiskach hybrydowych zagrożenie może objąć również zasoby firmowe. Jeżeli urządzenie używane prywatnie ma dostęp do aplikacji służbowych lub kont korporacyjnych, kradzież ciasteczek sesyjnych i poświadczeń może stać się punktem wyjścia do poważniejszego naruszenia bezpieczeństwa organizacji.

Rekomendacje

Podstawową zasadą powinno być ograniczone zaufanie do treści publikowanych przez społeczność, nawet jeśli są udostępniane przez rozpoznawalną platformę. Użytkownicy powinni szczególnie ostrożnie podchodzić do application wallpapers pochodzących od niezweryfikowanych autorów oraz do wszystkich pakietów wymagających uruchamiania dodatkowych plików.

Skanować pobierane zasoby aktualnym rozwiązaniem antywirusowym lub EDR.
Unikać uruchamiania nieznanych plików wykonywalnych z katalogów użytkownika.
Monitorować procesy potomne uruchamiane przez aplikacje do personalizacji pulpitu.
Stosować zasadę najmniejszych uprawnień na stacjach roboczych.
Zabezpieczyć konto Steam silnym hasłem i uwierzytelnianiem wieloskładnikowym.
Regularnie przeglądać aktywne sesje oraz oznaki możliwego przejęcia konta.
Oddzielać środowiska prywatne i służbowe na urządzeniach wykorzystywanych hybrydowo.

Z perspektywy administratorów i zespołów SOC zasadne jest przygotowanie reguł detekcji obejmujących nietypowe zachowania związane z Wallpaper Engine. Chodzi zwłaszcza o uruchamianie bibliotek DLL z nietypowych lokalizacji, dostęp do danych aplikacji Steam, wykonywanie archiwów pobranych wraz z tapetami oraz komunikację z podejrzanymi hostami bezpośrednio po instalacji nowej zawartości.

Podsumowanie

Incydent związany z Wallpaper Engine i Steam Workshop pokazuje, jak łatwo legalna funkcjonalność może zostać przekształcona w skuteczny wektor ataku. Możliwość uruchamiania aplikacji w ramach tapet stworzyła praktyczny mechanizm dostarczania malware pod przykryciem zwykłej personalizacji pulpitu.

Dla użytkowników oznacza to konieczność ostrożniejszej oceny treści społecznościowych, a dla obrońców potrzebę monitorowania także tych kanałów, które dotąd nie były postrzegane jako klasyczna powierzchnia infekcji. W świecie zaufanych platform nawet rozrywka może stać się nośnikiem poważnego incydentu bezpieczeństwa.

Źródła

BleepingComputer – Steam Workshop abused to spread malware via Wallpaper Engine app — https://www.bleepingcomputer.com/news/security/steam-workshop-abused-to-spread-malware-via-wallpaper-engine-app/
Kaspersky Securelist – Steam Workshop: wallpaper malware on the rise — https://securelist.com/steam-workshop-wallpaper-engine-malware/117671/
Steam Workshop — https://steamcommunity.com/workshop/
Wallpaper Engine – Application Wallpapers Documentation — https://docs.wallpaperengine.io/en/web/overview.html
SteamDB – Wallpaper Engine statistics — https://steamdb.info/app/431960/