Steam Workshop usado para disseminar malware através do Wallpaper Engine: como se proteger
Por Mag-Info Tech editorial · 2026-06-17
O que aconteceu: Wallpaper Engine e a brecha no Steam Workshop
Pesquisadores de cibersegurança identificaram uma campanha em andamento que explora o Steam Workshop, plataforma de compartilhamento de conteúdo da Valve, para distribuir malware disfarçado de wallpapers no Wallpaper Engine. O Wallpaper Engine é um aplicativo popular no Steam que permite aos usuários personalizar o plano de fundo da área de trabalho com vídeos, cenas interativas, páginas da web ou até mesmo aplicativos em execução. Desde o final de 2025, atacantes passaram a carregar pacotes maliciosos na seção de wallpapers do Workshop, onde cada arquivo infectado já foi baixado milhares de vezes antes de ser identificado.
Os pacotes infectados incluem wallpapers do tipo "aplicativo", que são na verdade executáveis do Windows disfarçados de ferramentas inofensivas. Ao instalar um wallpaper desse tipo, o usuário vê a animação ou interação na área de trabalho, mas, em segundo plano, o malware é instalado automaticamente. Em testes, um wallpaper chamado "NTRaholic" foi executado normalmente para não levantar suspeitas, enquanto um backdoor da família DarkKomet era instalado sem o conhecimento do usuário. Além disso, uma versão modificada da biblioteca "AggregatorHost.dll" era injetada no sistema para buscar credenciais de contas Steam armazenadas localmente.
Como os atacantes estão enganando os usuários
Os criminosos usam duas técnicas principais para distribuir o malware. Na primeira, o código malicioso é incluído diretamente no pacote do wallpaper. Na segunda, o pacote vem protegido por senha, com instruções embutidas no arquivo ou na descrição para que o usuário digite a senha — geralmente algo como "12345" ou "password" — e extraia o conteúdo. Essa abordagem reduz a detecção automática, já que o malware só é executado após a extração manual pelo usuário.
Os wallpapers infectados são projetados para parecer legítimos, com descrições atraentes e capturas de tela que mostram animações bonitas ou temas populares. Alguns imitam jogos conhecidos ou ferramentas de sistema, como monitores de desempenho ou widgets. A engenharia social é fundamental: o atacante conta com a pressa do usuário em personalizar sua área de trabalho e com a confiança depositada na plataforma Steam, que é amplamente reconhecida como segura.
Quais são os riscos para o usuário
Os payloads identificados incluem backdoors que permitem controle remoto do sistema, cryptominers que consomem recursos da máquina para minerar criptomoedas em segundo plano, e ladrões de credenciais focados em contas Steam. Em casos extremos, a infecção pode levar ao sequestro da conta Steam do usuário, à instalação de ransomware ou ao roubo de dados pessoais armazenados no navegador ou em aplicativos.
Além do impacto direto no dispositivo, há riscos indiretos. Se o malware roubar credenciais de login, o atacante pode acessar outras contas vinculadas ao e-mail ou usar a conta Steam comprometida para espalhar mais malwares entre contatos. O uso de recursos do sistema para mineração de criptomoedas pode causar superaquecimento, redução da vida útil do hardware e aumento na conta de energia elétrica.
Por que o Wallpaper Engine é um alvo atraente
O Wallpaper Engine é especialmente vulnerável porque permite que wallpapers do tipo "aplicativo" sejam executados como janelas ativas na área de trabalho. Isso significa que, ao contrário de imagens estáticas ou vídeos, esses pacotes podem conter executáveis completos. A integração com o Steam Workshop facilita a distribuição, já que milhões de usuários já confiam na plataforma para baixar conteúdos.
Outro fator é a falta de verificação rigorosa no Workshop. Embora o Steam não permita conteúdos explicitamente maliciosos, como vírus ou ransomware, pacotes que incluem executáveis com funcionalidades ocultas podem passar despercebidos por semanas ou meses. A demora na detecção permite que os pacotes infectados acumulem milhares de downloads antes de serem removidos, ampliando o alcance da campanha.
Como identificar um wallpaper suspeito
O primeiro sinal de alerta é a origem do pacote. Wallpapers baixados diretamente do Workshop do Steam são mais seguros, mas sempre verifique a reputação do autor e o número de downloads. Pacotes com poucos downloads ou avaliações recentes devem ser evitados. Desconfie de descrições que prometem funcionalidades incomuns para um wallpaper, como "aceleração de hardware" ou "otimização de sistema", especialmente se acompanhadas de instruções para inserir senhas.
Outro indício é o tipo de arquivo. Wallpapers do tipo "aplicativo" devem ser tratados com cautela, pois são, na verdade, executáveis. Verifique a extensão do arquivo: se não for .wp, .mp4 ou .jpg, mas sim .exe ou .dll, não instale. Além disso, observe o comportamento do sistema após a instalação. Se o desempenho cair drasticamente, se surgirem pop-ups estranhos ou se o antivírus disparar alertas, desinstale o wallpaper imediatamente.
Resultados reais da IA da MEFAI. Ganhe $50 de desconto no plano Pro.
Patrocinado · Desempenho passado não indica resultados futuros. Não é conselho financeiro.
Medidas de proteção antes e depois da instalação
Antes de instalar qualquer conteúdo do Steam Workshop, certifique-se de que o Windows e o antivírus estão atualizados. Ative o Controle de Conta de Usuário (UAC) e mantenha o Firewall do Windows ativado. Desative temporariamente o Wallpaper Engine enquanto pesquisa novos pacotes e reative-o apenas após verificar a procedência do conteúdo.
Se já instalou um wallpaper suspeito, desconecte o dispositivo da internet para evitar que o malware se comunique com servidores de comando e controle. Execute uma varredura completa com um antivírus de confiança e remova quaisquer arquivos desconhecidos. Verifique também as credenciais das contas Steam e de outros serviços, alterando as senhas se necessário. Em casos graves, considere formatar o sistema para garantir a remoção total do malware.
O que a Valve e os desenvolvedores podem fazer
A Valve já removeu vários pacotes maliciosos após denúncias, mas a resposta poderia ser mais ágil. Uma revisão mais rigorosa dos pacotes submetidos ao Workshop, especialmente aqueles que incluem executáveis, poderia reduzir a janela de oportunidade para os atacantes. Além disso, a implementação de um sistema de análise automática de arquivos antes da publicação ajudaria a identificar comportamentos suspeitos, como tentativas de injeção de DLLs ou conexões a IPs conhecidos por abrigar malwares.
Os desenvolvedores do Wallpaper Engine também têm responsabilidade. A documentação do aplicativo poderia alertar os usuários sobre os riscos de instalar wallpapers do tipo "aplicativo" e fornecer ferramentas integradas para verificar a integridade dos pacotes. Uma parceria com fabricantes de antivírus para escanear conteúdos antes do download também seria bem-vinda. Enquanto isso, os usuários devem cobrar transparência sobre as medidas de segurança adotadas pela plataforma.
Cenário atual e tendências
A campanha mostra como atacantes estão cada vez mais explorando plataformas de distribuição legítimas para disseminar malwares. O uso de aplicativos populares como isca é uma tática conhecida, mas a exploração de funcionalidades avançadas, como wallpapers interativos, representa um novo vetor. Especialistas acreditam que esse tipo de ataque deve se intensificar, especialmente em plataformas que permitem a execução de código por terceiros, como o Steam Workshop, a Microsoft Store e até mesmo lojas de extensões de navegadores.
Outra tendência preocupante é o uso de backdoors que buscam credenciais de contas de jogos, que muitas vezes são vinculadas a carteiras de criptomoedas ou usados para comprar itens virtuais valiosos. À medida que os jogadores acumulam ativos digitais, os criminosos veem essas contas como alvos cada vez mais lucrativos. A combinação de engenharia social, malware oculto e plataformas confiáveis cria um cenário perfeito para ataques bem-sucedidos.
O que os usuários devem fazer agora
A principal ação é a prevenção. Evite instalar wallpapers do tipo "aplicativo" a menos que sejam de fontes absolutamente confiáveis e com alto número de avaliações positivas. Se precisar de um wallpaper interativo, prefira aqueles que não exigem a execução de arquivos .exe ou .dll. Sempre mantenha backups atualizados de seus dados importantes e considere usar um gerenciador de senhas para reduzir o risco de roubo de credenciais.
Também é recomendável monitorar o tráfego de rede em segundo plano. Ferramentas como o GlassWire ou o Wireshark podem ajudar a identificar conexões suspeitas. Se notar atividade incomum, como transferências de dados em horários estranhos ou para IPs desconhecidos, investigue imediatamente. Por fim, compartilhe informações sobre pacotes suspeitos com a comunidade, denunciando-os no Workshop e alertando outros usuários em fóruns especializados.
Conclusão
A campanha que explora o Wallpaper Engine no Steam Workshop é mais um lembrete de que nenhuma plataforma está imune a abusos. Embora o Steam seja uma vitrine para milhões de conteúdos legítimos, a confiança depositada nele pelos usuários também a torna um alvo atraente para criminosos. A responsabilidade pela segurança não é apenas dos desenvolvedores ou da Valve, mas também dos próprios usuários, que devem adotar práticas de verificação e proteção antes de instalar qualquer conteúdo.
Manter o sistema atualizado, usar ferramentas de segurança e desconfiar de pacotes que prometem funcionalidades excessivas são atitudes essenciais. Enquanto a indústria não implementar barreiras mais eficazes contra esse tipo de ataque, a cautela deve ser a principal aliada dos usuários. A próxima vez que pensar em instalar um wallpaper interativo, lembre-se: nem tudo que parece bonito é seguro.
Mais em Cibersegurança & Privacidade
Rokarolla: novo malware Android rouba dados de 217 apps bancários e de criptomoedas
Rokarolla, novo trojan bancário para Android, rouba credenciais e dados financeiros de 217 apps; entenda como age, como se protege e o que fazer se infectado.
Campanhas ClickFix expandem entrega de malware com novos carregadores e iscas de atualização falsa
Campanhas ClickFix passaram a usar três novos carregadores de malware — BabaDeda, Lorem Ipsum e Potemkin — para driblar defesas e infectar organizações do setor educacional e financeiro com stealers e
Justiça dos EUA apreende sites de deepfakes pornográficos não consentidos sob nova lei federal
Departamento de Justiça dos EUA apreendeu dois sites de deepfakes pornográficos não consentidos pela primeira vez sob a lei TAKE IT DOWN Act, envolvendo autoridades de três países.