Malware di Wallpaper Engine dirotta Steam Workshop per rubare dati di portafogli crypto

Fonte: blockonomi2026/06/20 00:54

Se hai feedback o domande su questo contenuto, contattaci a crypto.news@kcex.com

TLDR:

Kaspersky ha identificato dozzine di pacchetti malevoli di Wallpaper Engine con migliaia di installazioni su Steam.
I furtoinformatici Lumma e Vidar sono stati distribuiti per raccogliere dati di portafogli crypto e credenziali del browser.
Il malware era nascosto in archivi protetti da password o incluso direttamente nei download degli sfondi.
L'FBI ha precedentemente indagato su malware distribuiti su Steam in titoli tra cui PirateFi e Tokenova.

Il malware di Wallpaper Engine si sta diffondendo attraverso Steam Workshop, una delle piattaforme di contenuti più fidate del gaming.

L'azienda di cybersecurity Kaspersky ha identificato dozzine di pacchetti di sfondi infetti distribuiti tramite la popolare applicazione di sfondi animati.

I file malevoli rubano credenziali di Steam, dirottano sessioni attive e distribuiscono furtoinformatici che mirano ai dati dei portafogli crypto.

Molti pacchetti avevano migliaia di download prima della scoperta, con vittime segnalate in Cina, Russia, Singapore, Germania e molti altri paesi.

Come gli attaccanti hanno armato una piattaforma fidata

Il rapporto di Kaspersky, pubblicato lunedì, ha rivelato che gli attaccanti hanno sfruttato Steam Workshop per caricare pacchetti malevoli di Wallpaper Engine mascherati da sfondi animati per desktop.

La maggior parte utilizzava personaggi femminili in stile anime come immagini di copertina, dando loro un aspetto credibile e attraente per i giocatori.

Il fattore fiducia della piattaforma ha fornito al malware un canale di distribuzione affidabile con minimo attrito per le potenziali vittime.

La funzionalità principale dell'applicazione è diventata il vettore d'attacco. Wallpaper Engine permette l'esecuzione di programmi eseguibili direttamente su un computer Windows, cosa che gli attaccanti hanno sfruttato per distribuire payload malevoli sotto l'aspetto di contenuti legittimi.

Kaspersky ha confermato di aver identificato dozzine di pacchetti di sfondi infetti disponibili su Steam Workshop, molti dei quali hanno raggiunto migliaia o addirittura decine di migliaia di download.

Alcuni sfondi includevano il malware direttamente nel pacchetto di download. Altri nascondevano i payload in archivi protetti da password che si decompressavano silenziosamente dopo l'installazione.

Un caso documentato del 2025 mostrava uno sfondo che avviava quello che sembrava un gioco desktop funzionante mentre installava segretamente il backdoor DarkKomet in background.

Il ricercatore di Kaspersky Maxim Starodubov ha affrontato la vulnerabilità principale che permette questi attacchi. "Le piattaforme fidate possono essere abusate per distribuire malware: gli attacchi si basano sulla fiducia degli utenti nei contenuti ospitati in ecosistemi legittimi," ha detto Starodubov.

"Sebbene molte delle famiglie di malware coinvolte siano ben note, il meccanismo di distribuzione permette agli attaccanti di raggiungere un gran numero di potenziali vittime attraverso contenuti apparentemente innocui."

Furtoinformatici, furto di crypto e un problema crescente su Steam

Tra i payload più pericolosi identificati ci sono i furtoinformatici Lumma e Vidar, distribuiti insieme al loader RenEngine.

Queste famiglie di malware sono strumenti ben documentati per raccogliere credenziali del browser, password salvate e informazioni sui portafogli di criptovaluta. Kaspersky ha anche notato che l'attività sembra coinvolgere più attaccanti piuttosto che un singolo gruppo coordinato.

Il dirottamento delle credenziali di Steam è stato un altro risultato confermato. Gli attaccanti hanno catturato token di sessione attivi, permettendo loro di accedere agli account senza bisogno di una password.

Kaspersky ha spiegato che "la funzionalità degli sfondi basata su applicazioni permette l'esecuzione di programmi eseguibili direttamente sul computer Windows dell'utente, consentendo agli attaccanti di distribuire software malevolo sotto le spoglie di contenuti legittimi."

I risultati seguono uno schema documentato di incidenti malware legati a Steam. A luglio 2025, l'azienda di cybersecurity Prodaft ha riportato che il titolo Steam Early Access Chemia era stato compromesso per distribuire Hijack Loader, Fickle Stealer e Vidar Stealer.

In precedenza, l'FBI aveva annunciato indagini su malware trovati in diversi titoli Steam, tra cui PirateFi, BlockBlasters e Tokenova.

Kaspersky ha consigliato agli utenti di trattare i contenuti di Workshop come potenziali vettori di minaccia indipendentemente dal numero di download. Alti numeri di installazioni non confermano la sicurezza, poiché i pacchetti malevoli hanno accumulato decine di migliaia di download prima della rimozione.

Il post Wallpaper Engine Malware Hijacks Steam Workshop to Steal Crypto Wallet Data è apparso per la prima volta su Blockonomi.

Disclaimer: Gli articoli ripubblicati su questo sito web provengono da piattaforme pubbliche e sono forniti solo a scopo di riferimento. Tali articoli non rappresentano le opinioni o i punti di vista di KCEX. Tutti i diritti d’autore appartengono agli autori originali. Se ritieni che un articolo ripubblicato violi i diritti di terzi, contatta crypto.news@kcex.com per richiederne la rimozione. KCEX non rilascia alcuna dichiarazione o garanzia in merito alla tempestività, accuratezza o completezza degli articoli ripubblicati e non sarà responsabile per eventuali azioni o decisioni prese sulla base di tali contenuti. I materiali ripubblicati sono solo a scopo informativo e non costituiscono consulenza, approvazione o base per decisioni commerciali, finanziarie, legali e/o fiscali.