Furto di account con sfondi infetti su Steam Workshop

I ricercatori di Kaspersky hanno rilevato una campagna malware che sfrutta la piattaforma Steam Workshop come mezzo di distribuzione. I cybercriminali hanno creato sfondi animati che permettono di rubare gli account dei giocatori e installare backdoor o cryptominer. I wallpaper sono stati eliminati, ma altri potrebbero essere condivisi in futuro.

Due metodi per distribuire malware tramite sfondi

Wallpaper Engine è l’app che consente di creare sfondi animati per il desktop di Windows (c’è anche una versione Android). Supporta vari formati video (MP4, WebM e altri), sfondi interattivi (scene), pagine web (HTML, CSS, JavaScript, audio e video) e applicazioni (finestre delle app di terze parti che vengono impostate come sfondi). Steam Workshop è invece la piattaforma usata per la condivisione dei wallpaper e altri contenuti creati dai giocatori.

La campagna malware scoperta da Kaspersky riguarda gli sfondi basati su applicazioni. Decine di sfondi infetti sono stati pubblicati su Steam Workshop e scaricati migliaia di volte. La maggioranza delle vittime si trova in Cina. I cybercriminali hanno usato due metodi per distribuire i malware.

Il primo prevedeva la creazione di un archivio ZIP con file eseguibili, DLL e script. Il secondo prevedeva l’uso di archivi protetti da password in cui era nascosto il malware (la password era aggiunta al nome degli archivi o scritta nei file di configurazione). Il malware veniva eseguito automaticamente con l’installazione dello sfondo.

Uno di essi mostrava un gioco perfettamente funzionante, ma in background veniva installata la backdoor DarkKomet per l’accesso remoto e un malware che rubava l’account Steam dell’utente. In alcuni casi venivano installati ransomware, infostealer (Lumma e Vidar) e cryptominer.

Come detto, gli sfondi infetti sono stati rimossi da Steam Workshop. Tutte le soluzioni di sicurezza di Kaspersky rilevano e bloccano i malware.