Malware en Steam Workshop: cómo los fondos de pantalla maliciosos infectan PCs a través de Wallpaper Engine

La nueva amenaza oculta en Steam Workshop: fondos de pantalla que instalan malware

Un informe reciente de Kaspersky revela una campaña activa que aprovecha una función poco conocida de Wallpaper Engine, una aplicación popular en Steam para personalizar fondos de pantalla dinámicos. Los atacantes están subiendo archivos maliciosos al Steam Workshop bajo la apariencia de fondos de pantalla interactivos, widgets o incluso juegos, aprovechando que Wallpaper Engine permite instalar "wallpapers de aplicación" que son, en realidad, ejecutables de Windows. Estos paquetes, una vez instalados, ejecutan código arbitrario sin necesidad de permisos adicionales, lo que convierte a los usuarios en víctimas potenciales desde el momento en que descargan e instalan el contenido.

Lo más preocupante es que los atacantes han estado operando desde al menos finales de 2025, según la investigación, y han logrado distribuir decenas de estos archivos maliciosos en la plataforma. Algunos de estos paquetes han sido descargados miles de veces antes de ser detectados, lo que sugiere que la amenaza no es marginal. La técnica es efectiva porque Wallpaper Engine es una aplicación legítima y ampliamente utilizada, con casi un millón de reseñas en Steam, lo que genera confianza en los usuarios. Además, los atacantes aprovechan el formato de Wallpaper Engine para ocultar el malware dentro de archivos aparentemente inocuos, como fondos de pantalla que simulan juegos o herramientas de sistema.

Cómo funciona el ataque: de la descarga a la infección silenciosa

El vector de infección comienza cuando un usuario navega por Steam Workshop en busca de fondos de pantalla o widgets para Wallpaper Engine. Los atacantes suben paquetes que imitan contenido legítimo, como fondos de pantalla de juegos populares o herramientas de monitoreo del sistema. Estos paquetes pueden incluir el malware directamente en el archivo o, en algunos casos, dentro de un archivo comprimido protegido con contraseña, lo que añade una capa de engaño adicional. Una vez que el usuario instala el "wallpaper", Wallpaper Engine lo ejecuta como una aplicación activa, lo que activa automáticamente el código malicioso.

En un ejemplo analizado por Kaspersky, un supuesto juego llamado "NTRaholic" se ejecutaba con normalidad al abrirlo, lo que reducía las sospechas del usuario. Sin embargo, en segundo plano, se instalaba un archivo de puerta trasera perteneciente a la familia de malware DarkKomet. Además, se inyectaba una versión modificada de la biblioteca del sistema "AggregatorHost.dll", diseñada para buscar y comprometer cuentas de Steam en el equipo infectado. Este enfoque no solo permite a los atacantes robar credenciales, sino también mantener acceso persistente al sistema, lo que facilita la ejecución de más malware o la extracción de datos sensibles.

El riesgo de los "wallpapers de aplicación": una puerta trasera en tu escritorio

Wallpaper Engine permite cuatro tipos de fondos de pantalla: videos, escenas interactivas, páginas web con audio/video y aplicaciones. Esta última categoría es la que representa el mayor riesgo, ya que permite ejecutar programas completos como si fueran fondos de pantalla. Los atacantes están explotando esta funcionalidad para convertir Wallpaper Engine en un vector de entrega de malware. Al instalar un "wallpaper de aplicación", el usuario no solo está cambiando su fondo de pantalla, sino que también está ejecutando un programa potencialmente malicioso sin darse cuenta.

El problema radica en que Wallpaper Engine no está diseñado para analizar el contenido de estos paquetes en busca de código malicioso. Aunque Steam Workshop tiene políticas de moderación, los atacantes han logrado evadir estos controles subiendo archivos que, en apariencia, son inofensivos. Además, al tratarse de contenido generado por usuarios, la plataforma depende en gran medida de informes de la comunidad para detectar y eliminar contenido malicioso, lo que deja una ventana de tiempo peligrosa entre la subida y la identificación del problema.

Tipos de malware distribuidos: desde puertas traseras hasta mineros de criptomonedas

Los investigadores han identificado varios tipos de cargas útiles (payloads) asociadas a estos ataques. En algunos casos, el malware se instala directamente en el sistema al ejecutar el "wallpaper", mientras que en otros, se requiere que el usuario extraiga manualmente un archivo comprimido protegido con contraseña. Una vez instalado, el malware puede realizar diversas acciones maliciosas, como:

• Robo de cuentas: Los atacantes buscan credenciales de Steam para tomar el control de las cuentas de los usuarios, lo que puede incluir el robo de inventarios de juegos, fondos de billetera o información personal.
• Puertas traseras (backdoors): Se instalan componentes que permiten el acceso remoto al sistema, lo que facilita la ejecución de más comandos maliciosos o la exfiltración de datos.
• Minado de criptomonedas: Algunos paquetes incluyen código para usar los recursos del sistema infectado en la minería de criptomonedas, lo que puede ralentizar el equipo y aumentar el consumo de energía.
• Robo de API keys: En casos similares documentados en otras plataformas, los atacantes buscan claves de API de servicios como JetBrains, lo que sugiere que este tipo de ataques podría expandirse a otros entornos de desarrollo.

La diversidad de payloads indica que los atacantes están experimentando con múltiples objetivos, desde el robo de recursos hasta el espionaje, lo que hace que esta amenaza sea especialmente peligrosa.

¿Por qué los usuarios caen en la trampa? El factor psicológico y la confianza en Steam

Steam es una plataforma de confianza para millones de usuarios, especialmente en el ámbito del gaming. Wallpaper Engine, por su parte, es una aplicación popular entre entusiastas de la personalización de PCs, con una base de usuarios que valora la estética y la funcionalidad. Los atacantes están explotando esta confianza para distribuir malware, aprovechando que los usuarios suelen asumir que el contenido en Steam Workshop es seguro.

Además, el formato de los "wallpapers de aplicación" es poco conocido para el público general. Muchos usuarios no sospecharían que un fondo de pantalla pueda ser un ejecutable, y menos aún que pueda instalar malware. Esto se agrava por el hecho de que algunos paquetes maliciosos imitan contenido legítimo, como juegos o herramientas de sistema, lo que reduce aún más las barreras para la infección. La combinación de confianza en la plataforma, desconocimiento del riesgo y la apariencia inocua de los archivos hace que esta campaña sea altamente efectiva.

Medidas de protección: cómo evitar ser víctima de estos ataques

Para protegerse de esta amenaza, los usuarios deben adoptar un enfoque proactivo. En primer lugar, es fundamental verificar siempre el origen del contenido antes de descargarlo. Si un "wallpaper" o widget proviene de un usuario desconocido o tiene un nombre sospechoso, es mejor evitarlo. Además, se recomienda revisar los comentarios y valoraciones en Steam Workshop, aunque esto no garantiza la seguridad, ya que los atacantes pueden manipular temporalmente las reseñas.

Otra medida clave es utilizar un antivirus actualizado que pueda detectar y bloquear archivos maliciosos antes de que se ejecuten. Herramientas como Windows Defender, Malwarebytes o Kaspersky pueden analizar los paquetes descargados y alertar sobre posibles amenazas. También es útil deshabilitar la ejecución automática de archivos descargados en el sistema, especialmente si provienen de fuentes no verificadas.

Para los administradores de sistemas o usuarios avanzados, se recomienda analizar los archivos .spkg (formato de Wallpaper Engine) antes de instalarlos. Estos archivos son, en esencia, archivos ZIP que pueden descomprimirse manualmente para inspeccionar su contenido. Si se encuentra un ejecutable (.exe) o un archivo DLL sospechoso, es mejor no instalar el paquete. Además, monitorear el tráfico de red puede ayudar a detectar conexiones sospechosas generadas por el malware una vez instalado.

¿Qué está haciendo Wallpaper Engine y Steam para mitigar el riesgo?

Tras la identificación de la campaña, Wallpaper Engine y Steam han comenzado a tomar medidas para reducir el impacto de estos ataques. Wallpaper Engine ha actualizado sus políticas de moderación para prohibir explícitamente el envío de archivos ejecutables como "wallpapers de aplicación" a menos que cumplan con requisitos estrictos de seguridad. Además, la aplicación ahora incluye advertencias más claras durante la instalación de paquetes, indicando qué permisos se están otorgando y qué tipo de contenido se está instalando.

Steam, por su parte, ha reforzado sus sistemas de detección automática para identificar y eliminar contenido malicioso en Workshop. Sin embargo, dado que el proceso depende en gran medida de informes de usuarios y análisis manuales, la eliminación de paquetes maliciosos puede tardar horas o incluso días. Los investigadores de Kaspersky han señalado que, aunque se han eliminado cientos de archivos maliciosos, la campaña sigue activa, lo que sugiere que los atacantes están adaptando sus tácticas para evadir los controles.

El futuro de los ataques a plataformas de contenido generado por usuarios

Esta campaña es un recordatorio de que las plataformas de contenido generado por usuarios, como Steam Workshop, son un objetivo atractivo para los ciberdelincuentes. A medida que las aplicaciones permiten mayor flexibilidad en el tipo de contenido que se puede compartir, también aumentan las oportunidades para que los atacantes oculten malware. Esto no se limita a Wallpaper Engine o Steam; otras plataformas con sistemas similares, como Nexus Mods para juegos o GitHub para desarrolladores, también han sido explotadas en el pasado para distribuir malware.

La tendencia sugiere que los atacantes seguirán aprovechando funciones poco conocidas o mal entendidas por los usuarios para ocultar sus cargas útiles. Por ejemplo, la capacidad de ejecutar aplicaciones como fondos de pantalla o la integración de scripts en herramientas de desarrollo son áreas con alto potencial de abuso. Esto subraya la importancia de que las plataformas implementen controles de seguridad más robustos, como análisis de código estático y dinámico, y que los usuarios adopten hábitos más cautelosos al descargar contenido.

Conclusión: la ciberseguridad es responsabilidad compartida

La campaña de malware en Steam Workshop a través de Wallpaper Engine es un ejemplo claro de cómo los atacantes explotan la confianza y la familiaridad de los usuarios con las plataformas que utilizan a diario. Aunque Wallpaper Engine y Steam están tomando medidas para mitigar el riesgo, la responsabilidad final recae en los usuarios. Adoptar prácticas seguras, como verificar el origen del contenido, mantener el software actualizado y utilizar herramientas de seguridad, es esencial para evitar convertirse en víctima.

Para los administradores de sistemas y empresas, este incidente destaca la necesidad de educar a los empleados sobre los riesgos de descargar contenido de fuentes no verificadas, incluso si provienen de plataformas aparentemente seguras. En un entorno donde las amenazas evolucionan constantemente, la precaución y la conciencia son las mejores defensas. Mientras tanto, los usuarios deben mantenerse informados sobre este tipo de campañas y estar atentos a cualquier comportamiento sospechoso en sus sistemas.