Cripto pesadilla en Steam: Malware oculto en fondos de pantalla de anime al descubierto

Investigadores de seguridad advierten sobre el secuestro de Steam Wallpaper Engine para distribuir malware que roba criptomonedas

Investigadores de seguridad han descubierto una creciente campaña cibercriminal dirigida a usuarios de Steam Wallpaper Engine, una de las aplicaciones de fondos de pantalla animados más populares de la plataforma Steam.

Según la empresa de ciberseguridad Kaspersky, los atacantes están abusando del sistema de distribución Steam Workshop para cargar y distribuir fondos de pantalla animados maliciosos disfrazados de contenido legítimo. Estos archivos suelen presentar diseños visualmente atractivos, incluidos personajes de estilo anime, para atraer descargas y aumentar la participación.

Según se informa, algunos de los fondos de pantalla infectados han acumulado miles o decenas de miles de instalaciones, lo que pone de relieve con qué facilidad las plataformas de confianza pueden ser aprovechadas para distribuir malware a gran escala.

Cómo se distribuye el malware

La cadena de ataque es relativamente simple pero muy efectiva.

Los cibercriminales cargan paquetes de fondos de pantalla aparentemente inofensivos en Steam Workshop, presentándolos como:

• Fondos de pantalla de escritorio animados
• Temas de fondo en vivo
• Paquetes visuales populares de estilo anime
• Obras de arte diseñadas por la comunidad

Una vez instalado, el paquete de fondos de pantalla activa scripts maliciosos ocultos que operan en segundo plano sin el conocimiento del usuario.

Dado que el contenido se distribuye a través del ecosistema oficial de Steam, muchos usuarios asumen que es seguro y verificado, lo que reduce las sospechas y aumenta las tasas de infección.

Qué hace realmente el malware

Una vez activados en el sistema de la víctima, los fondos de pantalla maliciosos pueden desplegar múltiples tipos de cargas útiles diseñadas para robar datos sensibles.

Los analistas de seguridad han confirmado que la campaña está vinculada a conocidas familias de malware que roban información, entre las que se incluyen:

• Lumma Stealer
• Vidar Stealer

Estos infostealers son capaces de extraer una amplia gama de datos personales y financieros.

Los objetivos incluyen billeteras de criptomonedas y credenciales de inicio de sesión

Según los hallazgos de Kaspersky, el malware está diseñado para recopilar información altamente sensible, que incluye:

• Nombres de usuario y contraseñas de cuentas de Steam
• Cookies de sesión de inicio de sesión activas
• Credenciales guardadas en el navegador
• Datos de autocompletar de navegadores web
• Información de billeteras de criptomonedas

La inclusión de billeteras de criptomonedas como objetivo es especialmente preocupante para los usuarios de activos digitales, ya que las credenciales robadas pueden llevar potencialmente a pérdidas financieras directas.

Una vez extraídos, los datos se transmiten a servidores controlados por los atacantes, donde pueden usarse para el robo de cuentas, el robo de identidad o venderse en mercados clandestinos.

Por qué se está explotando Steam Wallpaper Engine

Wallpaper Engine es ampliamente utilizado debido a sus funciones de personalización y su gran biblioteca de contenido impulsada por la comunidad en Steam Workshop.

Fuente: Wu Blockchain

Esta popularidad crea un entorno ideal para los atacantes porque:

• Los usuarios confían en el contenido de Steam Workshop
• Las descargas suelen percibirse como automáticas o de bajo riesgo
• El contenido visual (como los fondos de pantalla) rara vez se considera peligroso
• Una gran base de usuarios aumenta el potencial de exposición

Los expertos en ciberseguridad señalan que los atacantes están recurriendo cada vez más a explotar plataformas de confianza en lugar de sitios web sospechosos, lo que dificulta su detección.

Riesgos de seguridad para usuarios de Steam y titulares de criptomonedas

La campaña pone de relieve una preocupación de ciberseguridad más amplia: la convergencia de las plataformas de juegos y los objetivos financieros.

Las cuentas de Steam suelen contener valiosos activos digitales, como:

• Juegos comprados
• Inventarios de intercambio (en algunos casos de valor significativo)
• Métodos de pago almacenados
• Cuentas de email vinculadas

Cuando se combina con el objetivo de billeteras de criptomonedas, el impacto potencial se vuelve significativamente más grave.

Los expertos advierten que una vez que un atacante obtiene acceso a las cookies de sesión o a las credenciales guardadas de un usuario, puede eludir las protecciones de inicio de sesión tradicionales, como contraseñas o incluso algunos métodos de autenticación de dos factores (2FA).

Advertencia de Kaspersky y detalles de detección

Kaspersky ha señalado la actividad maliciosa y está rastreando activamente variantes de la campaña.

Las familias de malware detectadas, en particular Lumma y Vidar, son conocidas por:

• Exfiltración rápida de datos
• Capacidades de robo modulares
• Capacidad para eludir las protecciones antivirus básicas
• Actualizaciones frecuentes para evadir la detección

Los investigadores de seguridad destacan que estas herramientas se venden habitualmente como "malware como servicio", lo que permite a atacantes menos habilidosos desplegar campañas sofisticadas.

Cómo pueden protegerse los usuarios

Los expertos en ciberseguridad recomiendan varias precauciones para los usuarios de Steam y los titulares de criptomonedas:

• Descargar fondos de pantalla solo de creadores verificados o de confianza
• Evitar elementos de Workshop recién cargados con historial de reputación bajo
• Revisar periódicamente las suscripciones instaladas de Steam Workshop
• Usar herramientas dedicadas de antivirus y antimalware
• Almacenar activos de criptomonedas en billeteras de hardware en lugar de extensiones de navegador cuando sea posible
• Supervisar la actividad de la cuenta de Steam en busca de inicios de sesión inusuales

También se aconseja a los usuarios que sean cautelosos incluso dentro de plataformas de confianza, ya que los atacantes pueden explotar o eludir los sistemas de verificación.

Tendencia creciente de explotación de plataformas de juegos

Este incidente forma parte de una tendencia más amplia en la que los cibercriminales apuntan cada vez más a los ecosistemas de juegos.

En los últimos años, los atacantes han utilizado:

• Mods falsos para juegos populares
• Trucos maliciosos para juegos
• Enlaces de distribución de Discord comprometidos
• Cargas de Steam Workshop

El objetivo es constante: aprovechar la confianza de los usuarios y entornos de alta participación para distribuir malware a gran escala.

Los analistas de seguridad advierten que a medida que las plataformas de juegos continúen creciendo, probablemente seguirán siendo objetivos principales para ataques similares.

Conclusión

El descubrimiento de malware distribuido a través de Steam Wallpaper Engine vía Steam Workshop pone de relieve una creciente amenaza de ciberseguridad en la que los ecosistemas digitales de confianza están siendo utilizados como armas.

Con familias de malware como Lumma y Vidar capaces de robar credenciales de Steam, datos del navegador e información de billeteras de criptomonedas, los riesgos van mucho más allá del simple compromiso de una cuenta.

A medida que los atacantes continúan evolucionando sus tácticas, los expertos subrayan que los usuarios deben permanecer cautelosos incluso al interactuar con contenido aparentemente inofensivo, como los fondos de pantalla.

En el panorama de amenazas actual, incluso un simple fondo de escritorio podría convertirse en una puerta de entrada al robo financiero y de identidad.