Вредоносные обои в Steam: как злоумышленники используют Wallpaper Engine для заражения ПК

Киберпреступники постоянно совершенствуют методы доставки вредоносного ПО, и последняя кампания через Steam Workshop стала ярким примером того, как легитимные платформы могут использоваться для распространения угроз. Исследователи в области кибербезопасности выявили, что злоумышленники внедрили вредоносные пакеты в Workshop Wallpaper Engine — популярное приложение для кастомизации рабочего стола в Steam. Под видом тематических обоев распространяются бэкдоры, криптомайнеры и другие угрозы, которые активируются сразу после установки. Пользователи, даже с опытом работы с цифровыми платформами, рискуют стать жертвами, так как атака маскируется под легитимный контент.

Как работает механизм заражения через Steam Workshop

Steam Workshop — это встроенная платформа Valve для обмена пользовательским контентом в Steam. Она позволяет загружать и делиться модификациями, картами, скинами, сейвами, инструментами и даже обоями для рабочего стола. Wallpaper Engine, одно из самых популярных приложений в Steam с сотнями тысяч отзывов, поддерживает четыре типа обоев: видео, интерактивные сцены, веб-страницы и приложения. Именно последний тип — «приложения» — стал основным вектором атаки.

Злоумышленники загрузили в Workshop вредоносные пакеты, маскирующиеся под обычные обои. После установки такого «обоев» через Wallpaper Engine начинается автоматическое выполнение вредоносного кода. Вредонос может быть встроен непосредственно в пакет или находиться внутри защищённого паролем архива, который пользователю предлагают распаковать. В некоторых случаях атаки используют социальную инженерию: например, вредоносный пакет может называться «NTRaholic», имитируя название популярной игры, чтобы снизить подозрения пользователя. При запуске такого «обоев» пользователь видит работающее приложение, но в фоновом режиме происходит установка бэкдора DarkKomet и модифицированной системной библиотеки AggregatorHost.dll, которая сканирует систему на наличие учётных записей Steam.

Какие угрозы скрываются за поддельными обоями

Анализ, проведённый специалистами, показал, что вредоносные пакеты могут содержать различные типы угроз. Наиболее распространёнными являются криптомайнеры, которые используют ресурсы заражённого компьютера для добычи криптовалюты. Также встречаются бэкдоры, предоставляющие злоумышленникам удалённый доступ к системе, что может привести к краже данных, установке дополнительного вредоносного ПО или шпионских модулей. Ещё один тип угроз — программы для кражи учётных данных, которые могут похищать данные Steam, включая логины, пароли и информацию о платежах.

Злоумышленники используют несколько техник для распространения вредоносного ПО. В одних случаях вредоносный код внедряется непосредственно в исполняемый файл обоев, в других — прячется внутри архивов, защищённых паролем. Пользователю предлагают ввести пароль, что создаёт иллюзию легитимности. После установки вредонос активируется автоматически, без дополнительных действий со стороны пользователя. Это делает атаку особенно опасной, так как даже осторожные пользователи могут не заметить подвоха.

Почему Wallpaper Engine стал идеальной мишенью

Приложение Wallpaper Engine изначально разрабатывалось как инструмент для кастомизации рабочего стола, и его функционал позволяет устанавливать в качестве обоев не только статические изображения, но и активные окна работающих приложений. Это создаёт уникальную возможность для злоумышленников: они могут замаскировать вредоносное ПО под легитимное приложение, которое будет выглядеть как часть системы. Например, вредоносный пакет может имитировать системный мониторинг или мини-игры, чтобы пользователь не заподозрил ничего подозрительного.

Ещё одна проблема заключается в том, что Steam Workshop не имеет строгой модерации контента. Пользователи могут загружать и распространять контент без обязательной проверки на вредоносное содержимое. Хотя Valve предпринимает меры по блокировке опасных пакетов, злоумышленники успевают загружать новые версии вредоносного ПО, используя различные ухищрения для обхода защиты. Это создаёт ситуацию, когда даже популярные и проверенные приложения могут стать каналом для распространения угроз.

Кто пострадал и как масштабируется угроза

По данным исследователей, вредоносные пакеты, замаскированные под обои, были загружены десятки тысяч раз. Каждый из таких пакетов мог быть установлен на тысячи устройств, что делает угрозу массовой. Злоумышленники не ограничиваются одним типом атак: они используют различные тактики для распространения вредоносного ПО, включая фишинговые ссылки и поддельные страницы в социальных сетях. В некоторых случаях атаки нацелены на конкретные группы пользователей, например, геймеров или разработчиков, которые часто используют Steam и Wallpaper Engine.

Особую опасность представляют угрозы, нацеленные на учётные записи Steam. Похищенные данные могут быть использованы для мошенничества, продажи аккаунтов на чёрном рынке или для дальнейших атак на других пользователей. Например, бэкдор DarkKomet может не только предоставить злоумышленникам удалённый доступ к системе, но и использовать украденные учётные данные Steam для выполнения дополнительных атак, таких как фишинг или распространение вредоносного ПО через личные сообщения.

Как защититься от атак через Steam Workshop

Первый и самый важный шаг — это осознание риска. Пользователи должны понимать, что любой контент, загружаемый из Steam Workshop, может быть потенциально опасным. Даже если пакет выглядит легитимным, например, как популярная игра или системный инструмент, это не гарантирует его безопасность. Перед установкой следует проверить отзывы других пользователей, репутацию создателя контента и наличие подозрительных файлов в архиве.

Второй шаг — использование надёжного антивирусного ПО. Современные решения для защиты могут обнаруживать и блокировать вредоносные пакеты ещё на этапе загрузки. Также рекомендуется регулярно обновлять операционную систему и приложения, так как злоумышленники часто эксплуатируют устаревшие уязвимости. Важно помнить, что даже после установки вредоносного ПО антивирус может не сразу обнаружить угрозу, поэтому регулярные проверки системы остаются обязательными.

Третий шаг — это осторожность при работе с архивами и исполняемыми файлами. Если пакет требует ввода пароля для распаковки, это должно насторожить пользователя. Также стоит избегать скачивания контента с неофициальных источников или ссылок, полученных из ненадёжных каналов, таких как социальные сети или форумы. Если есть подозрения, что контент может быть вредоносным, лучше отказаться от его установки или обратиться за помощью к специалистам.

Что делать, если система уже заражена

Если пользователь подозревает, что его система заражена, необходимо немедленно принять меры. Первым делом следует отключить устройство от интернета, чтобы предотвратить дальнейшее распространение вредоносного ПО и утечку данных. Затем нужно запустить полную проверку системы с помощью антивирусного ПО, желательно в безопасном режиме или с использованием загрузочного диска. Если антивирус не обнаруживает угрозу, можно использовать специализированные утилиты для удаления вредоносного ПО, такие как Malwarebytes или AdwCleaner.

После удаления вредоносного ПО рекомендуется сменить пароли для всех важных учётных записей, особенно для Steam и других платформ, где хранится финансовая информация. Также стоит проверить систему на наличие других угроз, таких как руткиты или шпионские модули. Если заражение было связано с кражей данных, необходимо уведомить соответствующие службы и банки для предотвращения финансовых потерь.

Будущее угроз через легитимные платформы

Эта атака через Steam Workshop — не единичный случай. В последние годы злоумышленники всё чаще используют легитимные платформы для распространения вредоносного ПО. Это связано с тем, что такие платформы, как Steam, GitHub, npm или PyPI, пользуются доверием пользователей и имеют огромную аудиторию. Киберпреступники эксплуатируют эту доверчивость, маскируя вредоносный контент под легитимные приложения или библиотеки.

В будущем такие атаки могут стать ещё более изощрёнными. Злоумышленники будут использовать новые техники для обхода защиты, такие как обфускация кода, использование легитимных сертификатов и социальную инженерию. Пользователям и компаниям необходимо быть готовыми к этим угрозам, регулярно обновлять свои знания в области кибербезопасности и использовать современные средства защиты.

Для платформ, таких как Steam, важно усилить контроль за контентом, внедрять автоматические системы проверки и обучать пользователей основам безопасности. Только совместными усилиями можно снизить риск подобных атак и защитить миллионы пользователей от потери данных и контроля над своими устройствами.

Кибербезопасность — это не разовая задача, а постоянный процесс, требующий внимания и ответственности. Каждый пользователь должен осознавать риски и принимать меры для защиты своих данных и устройств. Атаки через Steam Workshop — это лишь одно из множества направлений, где злоумышленники ищут новые возможности для реализации своих преступных планов.