Kaspersky raportoi haittaohjelmien leviämisestä Steam Workshopissa
Kaspersky julkaisi maanantaina raportin, jossa kerrotaan, että hyökkääjät ovat käyttäneet Steam Workshopia levittääkseen haitallisia Wallpaper Engine -latauksia, jotka on naamioitu animoiduiksi työpöytätaustakuviksi. Monissa näistä taustakuvista esiintyy naispuolisia animehahmoja.
”Sovelluspohjainen taustakuvaominaisuus mahdollistaa suoritettavien ohjelmien ajamisen suoraan käyttäjän Windows-tietokoneella, mikä antaa hyökkääjille mahdollisuuden jakaa haittaohjelmia laillisen sisällön verhon alla,” Kaspersky totesi.
Yritys lisäsi, että se on tunnistanut kymmeniä tartunnan saaneita taustakuvapaketteja, jotka ovat saatavilla Steam Workshopissa. Kaspersky on myös tunnistanut taustakuvia jakavat Lumma- ja Vidar-infostealer-haittaohjelmat, joita käytetään yleisesti varastamaan käyttäjätunnuksia, selaindataa ja kryptovaluuttalompakkotietoja, yhdessä RenEngine-lataajan kanssa.
Tutkijat kertoivat, että toiminta liittyi useisiin uhkatoimijoihin eikä vain yhteen ryhmään.
”Monilla näistä paketeista oli tuhansia tai jopa kymmeniä tuhansia latauksia,” yritys mainitsi.
Kaspersky mukaan haittaohjelmakampanjan uhrit olivat pääasiassa Kiinassa ja Venäjällä, vaikka tartuntoja havaittiin myös Singaporessa, Hongkongissa, Saksassa, Vietnamissa, Intiassa ja Kanadassa. Haitalliset taustakuvat joko sisälsivät haittaohjelmia suoraan tai piilottivat niitä salasanasuojattuihin arkistoihin, jotka purkautuivat asennuksen jälkeen.
Yritys mainitsi vuoden 2025 tapauksen, jossa taustakuva näytti käynnistävän laillisen työpöytäpelin samalla kun se salaa asensi DarkKomet-takaportin.
”Luotettavia alustoja voidaan väärinkäyttää haittaohjelmien jakamiseen: hyökkäykset perustuvat käyttäjien luottamukseen laillisissa ekosysteemeissä isännöityyn sisältöön,” Kaspersky-tutkija Maxim Starodubov sanoi lausunnossaan.
”Vaikka monet mukana olevista haittaohjelmista ovat hyvin tunnettuja, jakelumechanismi mahdollistaa hyökkääjien tavoittaa suuria määriä mahdollisia uhreja näennäisesti harmittoman sisällön kautta.” Löydökset lisäävät kasvavaa luetteloa Steam-aiheisista haittaohjelmatapauksista.
Heinäkuussa 2025 kyberturvallisuusyritys Prodaft raportoi, että Steam Early Access -peli Chemia oli vaarantunut jakamaan Hijack Loader, Fickle Stealer ja Vidar Stealer -haittaohjelmia, jotka kohdistuivat kryptovaluuttalompakoihin ja käyttäjätietoihin. Maaliskuussa FBI ilmoitti tutkivansa haittaohjelmia, joita jaettiin useiden Steam-pelien, mukaan lukien Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara ja Tokenova, kautta.
