A kiberbűnözők folyamatosan keresik az újabbnál újabb lehetőségeket arra, hogy terjesszék kártékony kódjaikat, amelyeken keresztül fontos adatokat, felhasználói fiókokat, kriptovaluta-tárcákat, vagy egyéb olyan értékes portékát szerezzenek, amiből profitot realizálhatnak – akár még kritpovaluta-bányász algoritmusokat is telepíthetnek a célba vett rendszerekre. A Kaspersky szakemberei szerint nemrégiben a Steam Wallpaper Engine is a kiberbűnözők áldozatául esett, ugyanis rajta keresztül a gamereket vették célba, akiket vonzó háttérképekkel próbáltak behálózni, sokszor anime-témájú tartalmat felajánlva.
A Wallpaper Engine egy különálló külső alkalmazás, ami 4,99 dollárért érhető el a Steam kínálatán belül és igen sokan használják: a nem játék témájú tartalmak között vezeti a népszerűségi listát, így érthető, hogy a kiberbűnözők elkezdték keresni a benne rejlő lehetőségeket. A Wallpaper Engine aktív felhasználói bázisa 93 000 és 114 000 tag között helyezkedik el, maga a szoftver pedig négyféle háttérkép-típus támogat. Ezek közül az egyik egy különálló futtatható állományt használ, ami a háttérben működik – ezt vették célba a támadók, ezen keresztül szereztek felhasználói fiókokat is.
A szakemberek szerint a háttérképeket kétféle módszerrel juttatják el a célszemélyekhez. Az egyiknél a kártékony kódot tartalmazó EXE vagy DLL fájlok, illetve a szkriptek a háttérkép-fájlok mellett foglalnak helyet, ezt egy csomag formájában kaphatja meg a gyanútlan felhasználó. A másik esetben egy jelszóvédett tömörített fájl formájában érkezik a kártékony kód, ahol a jelszó vagy a tömörített állomány neve, vagy egy JSON konfigurációs fájl tartalmazza azt, ezáltal egy szkript automatikusan meg tudja nyitni. A folyamat ugyanaz: ha a háttérképet szeretnénk használni, akkor azzal párhuzamosan a kártékony kód is felkerül a rendszerre.
A Kaspersky szakemberei szerint tavaly decemberben egy konkrét mintát is megvizsgáltak, ami egy kisebb asztali játék indítását követően került a rendszerre. A játék indítása után a háttérben malware települt, ami a DarkKomet névre keresztelt hátsó ajtót helyezte el a rendszeren egy Synaptics.exe folyamat mögé bújtatva, valamint egy módosított AggregatorHost.dll fájlt is hozott. Utóbbi normál esetben egy rendszerfájl, amit módosítottak a támadók annak érdekébe, hogy megtalálják a Steam könyvtárat az adott rendszeren és kinyerjék a felhasználói adatokat, vagy az éppen bejelentkezett felhasználó élő munkamenet-adatait, majd ezeket egy távoli szerverre továbbította a kártékony kód, ezzel átadva az irányítást a támadóknak. Az aktív munkamenet felett nyert kontrol révén a támadók az adott felhasználó nevében kártékony kóddal fertőzött háttérképeket terjeszthetnek, ezért is maradt aktív a kártékony kódok terjesztése, miután néhány állományt lekapcsoltak.
Az aktuális adatok alapján a kártékony kódokat tartalmazó letöltések 89%-a Kínából ered, míg a második helyen Oroszország található 5,5%-kal. Néhány letöltés Németországból, Indiából, Vietnámból, Szingapúrból Hong Kong területéről, illetve még Kanadából is történt, azaz eléggé széles körben terjedt. A kártékony kódok között információlopó algoritmusok, kriptovaluta-bányász szoftverek, illetve számos egyéb tartalom is jelen volt. A szakemberek szerint a módszert nem csak egy csapat használta, hanem több különálló kiberbűnözői hálózat is.
Jó hír, hogy a Steam csapata még azelőtt eltávolította a kártékony kódokat tartalmazó háttérképeket és a rájuk mutató linkeket, mielőtt a Kaspersky beszámolója megjelent volna. A vizsgálatok szerint az első kártékony kódot tartalmazó háttérkép-csomagok 2025 augusztusában jelentek meg, azaz elég sokáig szedték áldozataikat. A szakemberek azt ajánlják, aki töltött le gyanúsnak tűnő háttérkép-csomagokat, azonnal távolítsa el azokat, majd futtasson le egy ellenőrzést az adott rendszeren egy vírusirtóval, ezt követően pedig ellenőrizze a Steam fiókjának legutóbbi aktivitásait, amelyek alapján kiderülhet, használhatták-e a kiberbűnözők kártékony kódok terjesztésére az adott fiókot.
