TLDR:
- 卡巴斯基在 Steam 上識別出數十個惡意 Wallpaper Engine 套件,安裝次數達數千次。
- 部署了 Lumma 和 Vidar 資訊竊取器,以竊取加密錢包數據和瀏覽器憑證。
- 惡意軟體隱藏在受密碼保護的壓縮檔中,或直接捆綁在桌布下載中。
- FBI 先前曾調查透過 Steam 分發的惡意軟體,涉及 PirateFi 和 Tokenova 等遊戲。
Wallpaper Engine 惡意軟體正透過 Steam 工作坊(遊戲中最受信任的內容平台之一)傳播。
網路安全公司卡巴斯基已識別出數十個透過熱門動態桌布應用程式分發的受感染桌布套件。
這些惡意檔案竊取 Steam 憑證、劫持活躍會話,並部署針對加密錢包數據的資訊竊取器。
許多套件在被發現前已有數千次下載,受害者遍佈中國、俄羅斯、新加坡、德國及其他多個國家。
攻擊者如何武器化一個受信任的平台
卡巴斯基的報告於週一發布,揭露威脅行為者利用 Steam 工作坊上傳偽裝成動畫桌面桌布的惡意 Wallpaper Engine 套件。
大多數使用動漫風格女性角色作為封面圖片,使其對玩家具有可信且吸引人的外觀。
該平台的信任因素為惡意軟體提供了可靠的分發管道,且對潛在受害者而言摩擦最小。
該應用程式的核心功能成為攻擊向量。Wallpaper Engine 允許可執行程式直接在 Windows 機器上運行,攻擊者利用這一點,以合法內容為幌子部署惡意負載。
卡巴斯基確認已識別出數十個透過 Steam 工作坊提供的受感染桌布套件,其中許多達到數千甚至數萬次下載。
有些桌布直接將惡意軟體捆綁在下載套件中。其他則將負載隱藏在受密碼保護的壓縮檔中,安裝後靜默解壓。
一個記錄在案的 2025 年案例顯示,一個桌布啟動了一個看似功能正常的桌面遊戲,同時在背景秘密安裝 DarkKomet 後門。
卡巴斯基研究員 Maxim Starodubov 談到了促成這些攻擊的核心漏洞。Starodubov 表示:「受信任的平台可能被濫用以分發惡意軟體:這些攻擊依賴於用戶信任託管在合法生態系統中的內容。」
「雖然涉及的許多惡意軟體家族是眾所周知的,但分發機制使攻擊者能夠透過看似無害的內容接觸大量潛在受害者。」
資訊竊取器、加密貨幣盜竊與日益嚴重的 Steam 問題
識別出的最危險負載包括 Lumma 和 Vidar 資訊竊取器,與 RenEngine 載入器一同分發。
這些惡意軟體家族是用於收集瀏覽器憑證、儲存密碼和加密貨幣錢包資訊的成熟工具。卡巴斯基還指出,該活動似乎涉及多個威脅行為者,而非單一協調組織。
Steam 憑證劫持是另一個已確認的結果。攻擊者捕獲活躍會話令牌,從而無需密碼即可存取帳戶。
卡巴斯基解釋說:「基於應用程式的桌布功能允許可執行程式直接在用戶的 Windows 電腦上運行,使攻擊者能夠以合法內容為幌子分發惡意軟體。」
這些發現遵循了 Steam 相關惡意軟體事件的記錄模式。2025 年 7 月,網路安全公司 Prodaft 報告稱,Steam 搶先體驗遊戲 Chemia 已被入侵,用於分發 Hijack Loader、Fickle Stealer 和 Vidar Stealer。
更早之前,FBI 宣布對多款 Steam 遊戲中發現的惡意軟體進行調查,包括 PirateFi、BlockBlasters 和 Tokenova。
卡巴斯基建議用戶將工作坊內容視為潛在威脅向量,無論下載次數如何。高安裝數並不能確認安全性,因為惡意套件在被移除前已累積數萬次下載。
這篇文章 Wallpaper Engine Malware Hijacks Steam Workshop to Steal Crypto Wallet Data 最早出現在 Blockonomi 上。