Фахівці з кібербезпеки виявили нову масштабну схему поширення шкідливого програмного забезпечення через Steam. Дослідники компанії Kaspersky повідомили, що зловмисники використовували Steam Workshop для поширення заражених шпалер для популярного застосунку Wallpaper Engine. На перший погляд такі файли виглядали як звичайні анімовані шпалери для робочого столу, однак після встановлення могли непомітно заражати комп’ютер користувача.
Особливої популярності серед зловмисників набули шпалери з аніме-персонажами, насамперед із дівчатами в стилі аніме. Саме такі роботи традиційно збирають велику кількість завантажень у Steam Workshop. За даними дослідників, деякі заражені шпалери встигли набрати тисячі, а в окремих випадках навіть десятки тисяч завантажень, перш ніж їх було виявлено.
Головна проблема полягає в особливостях роботи Wallpaper Engine. На відміну від звичайних статичних зображень, застосунок дозволяє запускати повноцінні виконувані програми безпосередньо на комп’ютері користувача. Саме цим і скористалися зловмисники. Замість нешкідливої анімації вони приховували всередині шпалер шкідливий код, який запускався майже непомітно для власника комп’ютера.
У багатьох випадках віруси маскувалися особливо ретельно. Одні шкідливі програми були заховані всередині захищених архівів, інші запускалися через звичайні виконувані файли Windows, не викликаючи підозр у користувачів. Зовні такі шпалери працювали абсолютно нормально, продовжуючи показувати анімацію, поки у фоновому режимі відбувалося зараження системи.
Аналіз показав, що зловмисники поширювали одразу кілька відомих сімейств шкідливого програмного забезпечення. Серед них виявилися Lumma і Vidar – два найпопулярніші інфостілери останніх років, а також завантажувач RenEngine.
Lumma і Vidar добре відомі фахівцям з інформаційної безпеки. Їхнє основне завдання – викрадення конфіденційної інформації із зараженого комп’ютера. Після проникнення в систему вони здатні викрадати логіни та паролі, файли cookie, дані банківських карток, інформацію з браузерів, вміст менеджерів паролів, облікові записи ігрових сервісів, а також дані криптовалютних гаманців.
Особливий інтерес для зловмисників становлять саме власники цифрових активів. Сучасні інфостілери вміють автоматично шукати на комп’ютері популярні криптовалютні гаманці, включаючи розширення браузерів і десктопні застосунки. Якщо користувач зберігає сід-фрази, приватні ключі або резервні копії гаманців у вигляді текстових файлів, документів чи скріншотів, шкідливе програмне забезпечення також може їх виявити й передати злочинцям.
Окрім криптовалюти, під загрозою опиняються й ігрові акаунти. Вірус здатний викрасти дані облікового запису Steam, після чого зловмисники можуть отримати доступ до бібліотеки ігор, внутрішньоігрових предметів або дорогого інвентарю.
У Kaspersky зазначають, що за атакою, найімовірніше, стоять одразу кілька різних угруповань, а не одна організована команда. Це свідчить про те, що подібна схема вже стала популярною серед кіберзлочинців і може використовуватися дедалі частіше.
Експерти нагадують, що Steam Workshop традиційно вважається відносно безпечним майданчиком завдяки системі модерації, однак повністю виключити появу шкідливого контенту неможливо. Особливо обережними варто бути під час завантаження модифікацій, доповнень і шпалер від невідомих авторів, які вимагають запуску додаткових файлів або програм.
Щоб знизити ризик зараження, фахівці рекомендують встановлювати шпалери й модифікації лише з перевірених джерел, підтримувати антивірусне програмне забезпечення в актуальному стані та регулярно оновлювати операційну систему. Власникам криптовалют радять використовувати апаратні гаманці або зберігати цифрові активи в сервісах з обов’язковою двофакторною автентифікацією. Сід-фрази та приватні ключі не слід зберігати на комп’ютері у вигляді текстових файлів, документів чи скріншотів – краще зберігати їх офлайн на папері або спеціальних металевих носіях.
Цей випадок став черговим нагадуванням про те, що сучасні кіберзлочинці дедалі частіше використовують звичні для користувачів платформи для поширення шкідливого програмного забезпечення. Навіть безневинні на перший погляд анімовані шпалери можуть виявитися інструментом для викрадення акаунтів, паролів і криптовалютних активів. Для зловмисників це особливо вигідно: чим популярніший контент і чим менше він викликає підозр, тим вища ймовірність, що жертва самостійно встановить шкідливу програму на свій комп’ютер.
ВІДМОВА ВІД ВІД ВІДПОВІДАЛЬНОСТІ: Усі матеріали, представлені на цьому сайті (https://wildinwest.com/), включно з вкладеннями, посиланнями або матеріалами, на які посилається компанія, призначено винятково для інформаційних і розважальних цілей, і їх не слід розглядати як фінансову консультацію. Матеріали третіх осіб залишаються власністю їхніх відповідних власників.