В Steam Workshop нашли вредоносные обои для Wallpaper Engine: их скачивали десятки тысяч раз

Kaspersky сообщила о вредоносной кампании против пользователей Steam: с конца 2025 года злоумышленники выкладывали в Steam Workshop заражённые живые обои для Wallpaper Engine. Снаружи всё выглядело почти безобидно — обои, мини-игры, виджеты и красивые заставки. Но внутри могли скрываться исполняемые файлы, которые крали данные аккаунта и перехватывали активные сессии.

Главный трюк был в функции Application Wallpaper. Такие обои работают не просто как картинка или анимация, а как отдельная программа для Windows. Обычно это удобно: можно добавить календарь, системный монитор, планировщик или маленькую игру прямо на рабочий стол. Но если сторонний код никто заранее не проверил, удобство быстро превращается в дыру. Похожая логика уже встречалась в других атаках, где вредоносные плагины маскировались под полезные инструменты.

По данным исследователей, злоумышленники использовали два основных способа доставки вредоносов. В первом случае заражённые обои распространялись в архивах вместе с вредоносной нагрузкой: .exe-файлами, DLL-библиотеками или скриптами. Во втором — код часто прятали в архивах с паролем, а запуск происходил автоматически после применения обоев.

После установки такие обои могли красть логины и пароли, забирать активную сессию Steam и отправлять данные на серверы атакующих. Затем взломанный аккаунт использовался дальше — через него загружали новые вредоносные обои в Steam Workshop. То есть схема работала как цепочка: один заражённый аккаунт помогал распространять следующие заражённые файлы.

Kaspersky нашла десятки вредоносных Application Wallpaper в Steam Workshop. Часть таких пакетов успела набрать тысячи и даже десятки тысяч загрузок. При этом точное число реально заражённых пользователей не называется, поэтому говорить, что пострадал каждый скачавший, нельзя.

• кампания, по данным Kaspersky, идёт с конца 2025 года;
• основная цель — пользователи Steam и Wallpaper Engine;
• 89% вредоносных загрузок пришлось на Китай;
• также затронуты Россия, Сингапур, Гонконг, Германия, Вьетнам, Индия и Канада;
• Steam уже удалил найденные вредоносные обои и связанные ссылки.

В одном из примеров исследователи запустили обои с игрой NTRaholic. Снаружи всё выглядело нормально: игра запускалась, управление работало, подозрений почти не было. Но параллельно на систему попадал бэкдор Synaptics.exe из семейства DarkKomet. Также упоминаются файл ._cache_GAME1.exe и библиотека AggregatorHost.dll, внутри которой находилась вредоносная нагрузка для кражи данных.

Самое неприятное здесь не в том, что “в Steam нашли вирусы”. Steam напрямую не взламывали, а Wallpaper Engine сам по себе не является вирусом. Проблема тоньше: пользовательский контент всё чаще превращается в канал доставки вредоносного ПО. Сегодня это живые обои, вчера — фейковые приложения, завтра — ещё какой-нибудь “полезный” виджет. На Xalabuda уже разбирался похожий сценарий с захватом сессий и распространением через доверенные аккаунты.

Для обычного пользователя вывод простой: если обои, мод, виджет или мини-игра просят запустить исполняемый файл, к этому стоит относиться как к установке полноценной программы. Даже если всё скачано через знакомую платформу. Особенно если внутри архив с паролем — это классический способ усложнить проверку антивирусом.

Геймерам стоит проверить систему антивирусом, если они ставили живые обои из Steam Workshop, особенно обои с встроенными играми или отдельными .exe-файлами. А владельцам Steam Deck и других устройств в экосистеме Valve полезно помнить: библиотека Steam удобна, но безопасность всё равно начинается не с платформы, а с того, что именно пользователь запускает на своём устройстве. Для понимания самой экосистемы можно отдельно посмотреть разбор Steam Deck как портативного игрового ПК.

Источники: Securelist, TechSpot