Gli hacker sfruttano Steam Workshop per diffondere malware nascosto da sfondi per il desktop, causando infezioni e furti di account
I ricercatori di Kaspersky hanno scoperto una campagna di distribuzione di malware, tuttora in corso, che sfrutta Steam Workshop e Wallpaper Engine, una popolare applicazione disponibile su Steam utilizzata per creare e condividere sfondi animati per il desktop. Durante le attività di ricerca sono stati individuati diversi pacchetti di sfondi infetti che avevano già totalizzato migliaia di download. Gli utenti di Steam in Cina e Russia sono risultati i principali bersagli dell’attacco, ma sono state identificate vittime anche a Singapore, Hong Kong, Germania, Vietnam, India e Canada. L’obiettivo principale degli autori della campagna era il furto di account di gioco e l’installazione di ulteriore malware sui dispositivi compromessi.
Steam Workshop è una funzionalità integrata nella piattaforma Steam che consente agli utenti di trovare, installare e gestire facilmente contenuti generati dalla community, come mod, mappe personalizzate, oggetti di gioco e sfondi. Wallpaper Engine supporta diversi formati di sfondo, tra cui video, scene interattive, pagine web e applicazioni.
La funzione “sfondi basati su applicazioni” permette l’esecuzione diretta di programmi eseguibili sul computer Windows dell’utente, offrendo agli hacker la possibilità di distribuire software dannoso sotto le sembianze di contenuti legittimi. Kaspersky ha individuato decine di pacchetti di sfondi infetti disponibili tramite Steam Workshop, molti dei quali hanno registrato migliaia, e in alcuni casi persino decine di migliaia, di download.
Gli autori degli attacchi hanno utilizzato due principali metodi di diffusione. In alcuni casi, file eseguibili, DLL e script dannosi venivano integrati direttamente nel pacchetto dello sfondo. In altri, il malware era nascosto all’interno di archivi protetti da password, con le credenziali incorporate nei nomi degli archivi o nei file di configurazione. Una volta installato lo sfondo, i payload malevoli venivano eseguiti automaticamente.
Uno degli esempi individuati da Kaspersky nel dicembre 2025 sembrava inizialmente funzionare in modo del tutto legittimo, avviando un gioco desktop incorporato senza mostrare alcun segno visibile di compromissione. In background, tuttavia, lo sfondo installava la backdoor DarkKomet e una libreria modificata progettata per colpire gli utenti di Steam, raccogliendo informazioni sugli account e dirottando le sessioni attive della piattaforma.
Gli attacchi sono stati probabilmente condotti da diversi autori di minacce indipendenti piuttosto che da un unico gruppo organizzato e non si sono limitati a una sola famiglia di malware. In diversi casi, Kaspersky ha rilevato sfondi dannosi che distribuivano gli infostealer Lumma e Vidar, oltre al loader RenEngine. Le soluzioni di sicurezza di Kaspersky sono in grado di rilevare e bloccare tutto il malware associato a questa campagna.
“Le piattaforme affidabili possono essere sfruttate per diffondere malware: questi attacchi si basano sulla fiducia che gli utenti ripongono nei contenuti ospitati all’interno di ecosistemi legittimi. Sebbene molte delle famiglie di malware coinvolte siano ben note, il meccanismo di diffusione consente agli autori degli attacchi di raggiungere un elevato numero di potenziali vittime attraverso contenuti apparentemente innocui”, ha commentato Maxim Starodubov, Cybersecurity Expert di Kaspersky.
Kaspersky raccomanda agli utenti di:
- Prestare attenzione quando si scaricano applicazioni, anche da fonti considerate affidabili
- Verificare la reputazione e la legittimità degli autori dei contenuti prima di installare qualsiasi contenuto generato dagli utenti
- Affidarsi a soluzioni di sicurezza informatica collaudate per individuare e bloccare tempestivamente le minacce
