Специалисты по кибербезопасности обнаружили новую масштабную схему распространения вредоносного программного обеспечения через Steam. Исследователи компании Kaspersky сообщили, что злоумышленники использовали Steam Workshop для распространения зараженных обоев для популярного приложения Wallpaper Engine. На первый взгляд такие файлы выглядели как обычные анимированные заставки для рабочего стола, однако после установки могли незаметно заражать компьютер пользователя.
Особую популярность среди злоумышленников получили обои с аниме-персонажами, прежде всего с девушками в стиле аниме. Именно такие работы традиционно собирают большое количество скачиваний в Steam Workshop. По данным исследователей, некоторые зараженные обои успели набрать тысячи, а в отдельных случаях даже десятки тысяч загрузок, прежде чем были обнаружены.
Главная проблема заключается в особенностях работы Wallpaper Engine. В отличие от обычных статичных изображений, приложение позволяет запускать полноценные исполняемые программы прямо на компьютере пользователя. Именно этим воспользовались атакующие. Вместо безобидной анимации они скрывали внутри обоев вредоносный код, который запускался практически незаметно для владельца компьютера.
Во многих случаях вирусы маскировались особенно тщательно. Одни вредоносные программы были спрятаны внутри защищенных архивов, другие запускались через обычные исполняемые файлы Windows, не вызывая подозрений у пользователей. Внешне такие обои работали абсолютно нормально, продолжая показывать анимацию, пока в фоновом режиме происходило заражение системы.
Анализ показал, что злоумышленники распространяли сразу несколько известных семейств вредоносного ПО. Среди них оказались Lumma и Vidar — два наиболее популярных инфостилера последних лет, а также загрузчик RenEngine.
Lumma и Vidar хорошо известны специалистам по информационной безопасности. Их основная задача — кража конфиденциальной информации с зараженного компьютера. После проникновения в систему они способны похищать логины и пароли, файлы cookie, данные банковских карт, информацию из браузеров, содержимое менеджеров паролей, учетные записи игровых сервисов, а также данные криптовалютных кошельков.
Особый интерес для злоумышленников представляют именно владельцы цифровых активов. Современные инфостилеры умеют автоматически искать на компьютере популярные криптовалютные кошельки, включая расширения браузеров и десктопные приложения. Если пользователь хранит сид-фразы, приватные ключи или резервные копии кошельков в виде текстовых файлов, документов или скриншотов, вредоносное ПО также может их обнаружить и передать преступникам.
Кроме криптовалюты под угрозой оказываются и игровые аккаунты. Вирус способен украсть данные учетной записи Steam, после чего злоумышленники могут получить доступ к библиотеке игр, внутриигровым предметам или дорогостоящему инвентарю.
В Kaspersky отмечают, что за атакой, вероятнее всего, стоят сразу несколько различных группировок, а не одна организованная команда. Это говорит о том, что подобная схема уже стала популярной среди киберпреступников и может использоваться все чаще.
Эксперты напоминают, что Steam Workshop традиционно считается относительно безопасной площадкой благодаря системе модерации, однако полностью исключить появление вредоносного контента невозможно. Особенно осторожными стоит быть при скачивании модификаций, дополнений и обоев от неизвестных авторов, которые требуют запуска дополнительных файлов или программ.
Чтобы снизить риск заражения, специалисты рекомендуют устанавливать обои и модификации только из проверенных источников, поддерживать антивирусное программное обеспечение в актуальном состоянии и регулярно обновлять операционную систему. Владельцам криптовалют советуют использовать аппаратные кошельки или хранить цифровые активы в сервисах с обязательной двухфакторной аутентификацией. Сид-фразы и приватные ключи не следует сохранять на компьютере в виде текстовых файлов, документов или скриншотов — лучше хранить их офлайн на бумаге или специальных металлических носителях.
Этот случай стал очередным напоминанием о том, что современные киберпреступники все чаще используют привычные пользователям платформы для распространения вредоносного ПО. Даже безобидные на первый взгляд анимированные обои могут оказаться инструментом для кражи аккаунтов, паролей и криптовалютных активов. Для злоумышленников это особенно выгодно: чем популярнее контент и чем меньше он вызывает подозрений, тем выше вероятность, что жертва самостоятельно установит вредоносную программу на свой компьютер.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Все материалы, представленные на этом сайте (https://wildinwest.com/), включая вложения, ссылки или материалы, на которые ссылается компания, предназначены исключительно для информационных и развлекательных целей и не должны рассматриваться как финансовая консультация. Материалы третьих лиц остаются собственностью их соответствующих владельцев.