Steam Workshop als Malware-Schleuder: Wie Wallpaper Engine zum Einfallstor wird

Gefährliche Schönheit: Wie harmlose Wallpaper zu einer Sicherheitslücke werden

Wer seinen Desktop mit bewegten Hintergründen oder interaktiven Elementen personalisiert, nutzt häufig Tools wie Wallpaper Engine. Die auf Steam verfügbare Anwendung erlaubt Nutzern, Videos, Webseiten oder sogar vollständige Anwendungen als Desktop-Hintergrund zu verwenden. Doch genau diese Flexibilität macht die Software zu einem attraktiven Ziel für Cyberkriminelle. Seit mindestens Ende 2025 nutzen Angreifer den Steam Workshop – Valves Plattform für benutzererstellte Inhalte – um manipulierte Wallpaper-Pakete zu verbreiten. Diese enthalten entweder direkt Schadcode oder verstecken ihn in passwortgeschützten Archiven. Sobald Nutzer die vermeintlich harmlosen Dateien installieren, wird die Malware automatisch ausgeführt.

Die Masche ist besonders tückisch, weil sie auf einer legitimen Funktion von Wallpaper Engine aufbaut. Die Anwendung unterstützt sogenannte „Application Wallpapers“, bei denen es sich um ausführbare Windows-Dateien handelt. Diese können Spiele, Widgets oder System-Tools sein – oder eben auch Schadsoftware. Kaspersky-Analysten entdeckten Dutzende solcher manipulierten Pakete im Steam Workshop, die bereits tausende Male heruntergeladen wurden. Die Angreifer tarnten die Malware beispielsweise als Spiel mit dem Namen „NTRaholic“. Beim Start des Wallpapers schien alles normal zu funktionieren, doch im Hintergrund installierte sich eine Backdoor aus der DarkKomet-Familie. Zudem wurde eine manipulierte Systembibliothek namens „AggregatorHost.dll“ platziert, die gezielt nach Steam-Konten auf dem System suchte. Für Nutzer ist der Angriff kaum erkennbar, da die Schadsoftware direkt nach der Installation aktiv wird – ohne weitere Interaktion.

Warum der Steam Workshop ein Paradies für Angreifer ist

Valve betreibt den Steam Workshop als zentrale Plattform für Nutzerinhalte, die von Spielen über Mods bis hin zu Wallpapern reicht. Die offene Natur der Plattform – jeder kann Inhalte hochladen und teilen – macht sie jedoch auch zu einem idealen Versteck für Malware. Im Gegensatz zu offiziellen Steam-Spielen durchlaufen Workshop-Inhalte keine strengen Sicherheitsprüfungen. Zwar gibt es Mechanismen zur Meldung und Entfernung von schädlichen Inhalten, doch diese greifen oft erst, wenn es bereits zu spät ist. Die Angreifer nutzen diese Lücke gezielt aus, indem sie ihre Malware als vermeintlich nützliche oder unterhaltsame Inhalte tarnen.

Ein weiteres Problem ist die Vertrauenskultur innerhalb der Steam-Community. Nutzer sind es gewohnt, Inhalte aus dem Workshop herunterzuladen, ohne deren Herkunft oder Integrität zu hinterfragen. Besonders beliebt sind interaktive Wallpaper oder Anwendungen, die als Desktop-Hintergrund dienen. Diese werden oft mit ansprechenden Vorschaubildern oder Beschreibungen beworben, um Nutzer zum Download zu verleiten. Die Angreifer setzen dabei auf Social Engineering: Sie nutzen populäre Themen wie Spiele, System-Tools oder visuelle Effekte, um ihre Opfer in die Falle zu locken. Sobald die Malware installiert ist, kann sie nicht nur Steam-Konten kompromittieren, sondern auch weitere Schadfunktionen ausführen – etwa das Schürfen von Kryptowährungen oder das Ausspähen von Daten.

Die Mechanik der Attacke: Wie Malware über Wallpaper eingeschleust wird

Die von Kaspersky analysierten Angriffe folgen einem klaren Muster. Zunächst laden die Täter manipulierte Wallpaper-Pakete auf den Steam Workshop hoch. Diese Pakete enthalten entweder direkt ausführbaren Schadcode oder verstecken ihn in passwortgeschützten ZIP-Archiven. Die Passwörter werden in der Beschreibung oder den Kommentaren des Workshop-Eintrags angegeben, um Nutzer zum Öffnen zu verleiten. Sobald die Datei heruntergeladen und installiert wird, führt Wallpaper Engine die enthaltene Anwendung aus – und damit auch den Schadcode.

Ein konkretes Beispiel ist das als „NTRaholic“ getarnte Wallpaper. Beim Start des Wallpapers erschien ein normales Spiel, während im Hintergrund die DarkKomet-Backdoor installiert wurde. Diese Backdoor ermöglicht es Angreifern, die Kontrolle über das infizierte System zu übernehmen, Daten zu stehlen oder weitere Malware nachzuladen. Zusätzlich platzierte die Schadsoftware eine manipulierte Version der Systembibliothek „AggregatorHost.dll“. Diese Bibliothek wurde so modifiziert, dass sie gezielt nach Steam-Konten auf dem System suchte – ein klarer Hinweis darauf, dass die Angreifer es auf die Übernahme von Steam-Accounts abgesehen hatten. Die Kombination aus Backdoor und gezielter Suche nach Spielerkonten zeigt, dass die Täter nicht nur zufällige Opfer ins Visier nehmen, sondern gezielt Nutzer von Gaming-Plattformen angreifen.

Die Folgen für betroffene Nutzer: Von gestohlenen Accounts bis zu Kryptojacking

Die Auswirkungen einer solchen Infektion können schwerwiegend sein. Zunächst einmal riskieren Nutzer die Übernahme ihres Steam-Accounts. Da viele Spieler wertvolle Ingame-Items, Skins oder sogar ganze Spielbibliotheken besitzen, ist ein kompromittierter Account ein gefundenes Fressen für Cyberkriminelle. Diese können die Konten entweder selbst nutzen, um Inhalte zu verkaufen, oder sie auf dem Schwarzmarkt anbieten. Doch die Gefahr geht über Steam hinaus: Die installierte Backdoor kann weitere Systeme kompromittieren und als Einfallstor für Ransomware oder Spyware dienen.

Ein weiterer häufiger Payload ist das sogenannte Kryptojacking. Dabei wird die Rechenleistung des infizierten Systems genutzt, um Kryptowährungen zu schürfen – ohne dass der Nutzer davon etwas bemerkt. Dies führt nicht nur zu einer spürbaren Verlangsamung des Systems, sondern erhöht auch den Stromverbrauch und die Abnutzung der Hardware. Besonders problematisch ist, dass viele Nutzer die Malware erst bemerken, wenn bereits Schäden entstanden sind. Da die Schadsoftware direkt nach der Installation aktiv wird, gibt es kaum eine Chance, den Angriff im Nachhinein zu stoppen.

Warum Wallpaper Engine besonders anfällig für diese Angriffe ist

Wallpaper Engine nutzt ein Feature, das eigentlich für mehr Flexibilität sorgen sollte: die Möglichkeit, vollständige Anwendungen als Desktop-Hintergrund zu verwenden. Diese „Application Wallpapers“ sind ausführbare Windows-Dateien, die Wallpaper Engine als Hintergrundprozess startet. Für Angreifer ist dies ein gefundenes Fressen, da sie ihre Malware direkt als ausführbare Datei tarnen können. Im Gegensatz zu klassischen Malware-Varianten, die über E-Mails oder Drive-by-Downloads verbreitet werden, nutzt dieser Angriff eine legitime Funktion der Software aus.

Ein weiteres Problem ist die mangelnde Sandboxing-Funktion. Obwohl Wallpaper Engine die Anwendungen als Hintergrundprozess startet, haben diese dennoch Zugriff auf das System – zumindest in dem Umfang, den die Anwendung selbst besitzt. Da die Malware als Teil des Wallpaper-Pakets installiert wird, erbt sie die Berechtigungen der Wallpaper-Engine. Dies ermöglicht es ihr, Systembibliotheken zu manipulieren, weitere Dateien zu installieren oder sogar andere Anwendungen zu überwachen. Valve hat zwar Sicherheitsmechanismen eingeführt, um solche Angriffe zu erschweren, doch diese reichen offenbar nicht aus, um die Täter vollständig abzuschrecken.

Was Valve unternimmt – und warum es nicht reicht

Valve hat auf die Berichte reagiert und begonnen, die gemeldeten manipulierten Wallpaper aus dem Workshop zu entfernen. Zudem wurden einige Sicherheitsmechanismen verstärkt, etwa strengere Überprüfungen von hochgeladenen Inhalten. Doch diese Maßnahmen greifen oft zu spät. Da die Angreifer ihre Malware gezielt als harmlose Inhalte tarnen, ist es für Valve schwierig, alle schädlichen Pakete im Voraus zu erkennen. Die Plattform verlässt sich stark auf Nutzer-Meldungen, was bedeutet, dass die Malware bereits verbreitet wurde, bevor sie entfernt wird.

Ein weiteres Problem ist die mangelnde Transparenz. Valve informiert Nutzer nicht aktiv über Sicherheitsvorfälle oder neue Bedrohungen, sondern setzt auf nachträgliche Maßnahmen. Dies führt dazu, dass viele Nutzer weiterhin unwissentlich schädliche Inhalte herunterladen, ohne zu ahnen, welche Risiken sie eingehen. Zudem gibt es keine zentrale Stelle, an der Nutzer über bekannte Bedrohungen informiert werden – etwa in Form einer Warnliste oder eines Sicherheitsblogs. Ohne diese Informationen sind Nutzer auf sich allein gestellt, wenn es darum geht, sich vor solchen Angriffen zu schützen.

Praktische Schritte: Wie Nutzer sich schützen können

Für Nutzer von Wallpaper Engine und Steam Workshop gibt es dennoch Möglichkeiten, sich vor solchen Angriffen zu schützen. Der wichtigste Schritt ist die Überprüfung der Quelle. Bevor ein Wallpaper heruntergeladen wird, sollte der Ersteller des Inhalts überprüft werden. Nutzer mit einer langen Historie und positiven Bewertungen sind in der Regel vertrauenswürdiger als neue oder anonyme Konten. Zudem sollte die Beschreibung des Inhalts genau gelesen werden – besonders dann, wenn Passwörter oder ungewöhnliche Installationsanweisungen angegeben sind.

Ein weiterer Schutzmechanismus ist die Verwendung eines Antivirenprogramms, das Echtzeit-Scans durchführt. Moderne Sicherheitslösungen erkennen viele bekannte Malware-Varianten und können warnen, bevor die Schadsoftware ausgeführt wird. Zudem sollten Nutzer regelmäßig System-Scans durchführen, um verdächtige Dateien oder Aktivitäten zu identifizieren. Falls ein manipuliertes Wallpaper installiert wurde, ist es wichtig, sofort das Antivirenprogramm zu aktivieren und gegebenenfalls eine Systemwiederherstellung durchzuführen.

Für fortgeschrittene Nutzer gibt es die Option, die „Application Wallpaper“-Funktion in Wallpaper Engine zu deaktivieren. Dies verhindert, dass ausführbare Dateien als Hintergrund gestartet werden können – allerdings auf Kosten der Flexibilität. Wer auf interaktive oder anwendungsspezifische Wallpaper nicht verzichten möchte, sollte zumindest sicherstellen, dass nur Inhalte von vertrauenswürdigen Erstellern installiert werden. Zudem empfiehlt es sich, Steam und Wallpaper Engine regelmäßig zu aktualisieren, um bekannte Sicherheitslücken zu schließen.

Die Rolle der Community: Warum Aufklärung entscheidend ist

Angriffe wie diese zeigen, wie wichtig die Aufklärung der Community ist. Viele Nutzer sind sich der Risiken nicht bewusst und vertrauen blind auf Inhalte aus dem Steam Workshop. Plattformen wie Valve könnten hier eine aktivere Rolle übernehmen, indem sie Nutzer über neue Bedrohungen informieren oder Sicherheitshinweise in die Anwendung integrieren. Ein Beispiel wäre ein Warnsystem, das Nutzer vor potenziell gefährlichen Inhalten warnt – ähnlich wie bei Browser-Erweiterungen, die vor Phishing-Seiten schützen.

Zudem könnten Community-Initiativen wie Foren oder Discord-Server dazu beitragen, Nutzer über aktuelle Bedrohungen zu informieren. Erfahrene Nutzer könnten beispielsweise Listen mit bekannten schädlichen Inhalten führen oder Tipps zum sicheren Umgang mit Wallpaper Engine teilen. Eine solche Zusammenarbeit würde nicht nur die Awareness erhöhen, sondern auch Valve dabei unterstützen, schneller auf neue Bedrohungen zu reagieren.

Ausblick: Was kommt als Nächstes – und was Nutzer tun können

Die Angriffe über den Steam Workshop und Wallpaper Engine sind ein Weckruf für die Gaming-Community. Sie zeigen, dass selbst vermeintlich harmlose Anwendungen zu Sicherheitsrisiken werden können – besonders dann, wenn sie mit offenen Plattformen wie dem Steam Workshop verbunden sind. Valve wird wahrscheinlich weitere Sicherheitsmechanismen einführen, etwa strengere Überprüfungen oder Sandboxing für Application Wallpapers. Doch bis diese Maßnahmen flächendeckend umgesetzt sind, liegt die Verantwortung bei den Nutzern.

Langfristig könnte dieses Problem jedoch nur gelöst werden, wenn Plattformen wie Valve und Softwareentwickler wie Wallpaper Engine enger zusammenarbeiten. Gemeinsame Sicherheitsstandards, regelmäßige Audits und transparente Kommunikation über Bedrohungen wären ein wichtiger Schritt. Bis dahin bleibt Nutzern nur, wachsam zu bleiben, Inhalte kritisch zu hinterfragen und sich mit den richtigen Sicherheitsmaßnahmen zu schützen. Denn eines ist klar: Die Täter werden nicht aufhören, neue Wege zu finden, um an die Daten und Systeme von Gamern zu gelangen.