Investigadores de Kaspersky descubrieron una campaña de distribución de malware que se está implementando, aprovechando Steam Workshop y Wallpaper Engine, una aplicación popular en Steam que permite a los usuarios crear y compartir fondos de pantalla animados para computadoras.
El equipo de investigación identificó muchos paquetes de fondos de pantalla infectados con malware con miles de descargas. El objetivo principal de esta campaña son los usuarios de Steam en China y Rusia, además de las víctimas en Singapur, Hong Kong (China), Alemania, Vietnam, India y Canadá. El objetivo del atacante es robar cuentas de juego e implementar otros tipos de malware en los dispositivos de las víctimas.
Steam Workshop es una función integrada en la plataforma Steam, que permite a los usuarios buscar, instalar y administrar fácilmente contenido creado por la comunidad, como mods, mapas personalizados, objetos de juego y fondos de pantalla de dispositivos. Mientras tanto, la aplicación Wallpaper Engine admite muchos formatos de fondos de pantalla diferentes, incluidos videos, escenas de interacción, páginas web y aplicaciones.
La función de soporte de fondos de pantalla en forma de aplicación permite que los programas se ejecuten directamente en el ordenador Windows del usuario. Esto crea inadvertidamente una laguna para que los atacantes distribuyan software malicioso bajo la apariencia de contenido falso legal. Kaspersky ha descubierto docenas de paquetes de fondos de pantalla infectados con malware publicados en Steam Workshop. Muchos de estos paquetes registran miles, incluso decenas de miles de descargas.
Los atacantes utilizan principalmente dos métodos principales para propagar el malware. La primera forma es incrustar directamente los archivos ejecutables maliciosos, la biblioteca DLL y el conjunto de comandos en el paquete de fondos. En otros casos, el malware está oculto en un archivo comprimido con contraseña protectora, en el que la contraseña está preinstalada en el nombre del archivo o archivo de configuración. Después de instalar el fondo, el malware se activará y ejecutará automáticamente.
Los ataques son muy probables que sean llevados a cabo por muchos grupos o individuos diferentes en lugar de solo un grupo, y tampoco se limitan a una familia específica de malware. En muchos casos, Kaspersky ha detectado fondos de pantalla maliciosos que difunden líneas de malware que roban información como Lumma y Vidar, así como el cargador de malware RenEngine. Las soluciones de seguridad de Kaspersky ahora tienen la capacidad de detectar y prevenir todos los tipos de malware relacionados con esta campaña.
Maxim Starodubov, experto en seguridad cibernética de Kaspersky, comentó: "Incluso las plataformas confiables pueden ser explotadas para distribuir malware. Estos ataques se basan en la confianza de los usuarios en el contenido almacenado en los ecosistemas legítimos. Aunque la mayoría de las líneas de malware utilizadas son conocidas de antemano, este mecanismo de distribución todavía ayuda a los hackers a acceder a un gran número de víctimas potenciales a través de contenido aparentemente inofensivo".
Para proteger a los usuarios, los expertos de Kaspersky han dado consejos:
Ten cuidado al descargar cualquier aplicación, incluso de fuentes que se consideren confiables.
Comprueba la credibilidad y la autenticidad del desarrollador o creador de contenido antes de instalar cualquier contenido compartido por la comunidad.
Utiliza soluciones de seguridad de renombre para detectar y prevenir amenazas.
