Krypto Koszmar na Steam: Złośliwe Oprogramowanie Ukryte w Anime Tapetach Ujawnione

Badacze ds. bezpieczeństwa ostrzegają: Steam Wallpaper Engine wykorzystywany do rozpowszechniania złośliwego oprogramowania kradnącego kryptowaluty

Badacze ds. bezpieczeństwa wykryli rosnącą kampanię cyberprzestępczą wymierzoną w użytkowników Steam Wallpaper Engine – jednej z najpopularniejszych aplikacji do animowanych tapet na platformie Steam.

Według firmy cyberbezpieczeństwa Kaspersky, atakujący nadużywają systemu dystrybucji Steam Workshop do przesyłania i rozpowszechniania złośliwych animowanych tapet podszywających się pod legalne treści. Pliki te często prezentują atrakcyjne wizualnie wzory, w tym postacie w stylu anime, aby przyciągnąć pobierania i zwiększyć zaangażowanie.

Niektóre zainfekowane tapety zgromadziły podobno tysiące do dziesiątek tysięcy instalacji, co pokazuje, jak łatwo zaufane platformy mogą być wykorzystywane do masowej dystrybucji złośliwego oprogramowania.

Jak dostarczane jest złośliwe oprogramowanie

Łańcuch ataku jest stosunkowo prosty, ale bardzo skuteczny.

Cyberprzestępcy przesyłają pozornie nieszkodliwe pakiety tapet do Steam Workshop, przedstawiając je jako:

• Animowane tapety na pulpit
• Animowane motywy tła
• Popularne pakiety wizualne w stylu anime
• Niestandardowe grafiki zaprojektowane przez społeczność

Po zainstalowaniu pakiet tapety uruchamia ukryte złośliwe skrypty działające w tle bez wiedzy użytkownika.

Ponieważ treści są dystrybuowane poprzez oficjalny ekosystem Steam, wielu użytkowników zakłada, że są bezpieczne i zweryfikowane, co zmniejsza podejrzliwość i zwiększa wskaźniki infekcji.

Co tak naprawdę robi złośliwe oprogramowanie

Po aktywacji w systemie ofiary złośliwe tapety mogą wdrażać wiele rodzajów ładunków zaprojektowanych do kradzieży wrażliwych danych.

Analitycy bezpieczeństwa potwierdzili, że kampania jest powiązana z dobrze znanymi rodzinami złośliwego oprogramowania kradnącego informacje, w tym:

• Lumma Stealer
• Vidar Stealer

Te programy do kradzieży informacji są w stanie wyodrębnić szeroki zakres danych osobowych i finansowych.

Cele obejmują portfele kryptowalut i dane logowania

Według ustaleń Kaspersky złośliwe oprogramowanie jest zaprojektowane do zbierania wysoce wrażliwych informacji, w tym:

• Nazwy użytkownika i hasła do kont Steam
• Aktywne pliki cookie sesji logowania
• Zapisane dane logowania w przeglądarce
• Dane autouzupełniania z przeglądarek internetowych
• Informacje o portfelach kryptowalut

Uwzględnienie celowania w portfele kryptowalut jest szczególnie niepokojące dla użytkowników aktywów cyfrowych, ponieważ skradzione dane uwierzytelniające mogą potencjalnie prowadzić do bezpośrednich strat finansowych.

Po wyodrębnieniu dane są przesyłane na serwery kontrolowane przez atakujących, gdzie mogą być wykorzystywane do przejęcia konta, kradzieży tożsamości lub sprzedawane na podziemnych rynkach.

Dlaczego Steam Wallpaper Engine jest wykorzystywany

Wallpaper Engine jest powszechnie używany ze względu na funkcje personalizacji i dużą bibliotekę treści opartą na społeczności w Steam Workshop.

Źródło: Wu Blockchain

Ta popularność tworzy idealne środowisko dla atakujących, ponieważ:

• Użytkownicy ufają treściom Steam Workshop
• Pobieranie jest często postrzegane jako automatyczne lub niskiego ryzyka
• Treści wizualne (jak tapety) są rzadko postrzegane jako niebezpieczne
• Duża baza użytkowników zwiększa potencjał ekspozycji

Eksperci ds. cyberbezpieczeństwa zauważają, że atakujący coraz częściej przechodzą na wykorzystywanie zaufanych platform zamiast podejrzanych stron internetowych, co utrudnia wykrycie.

Zagrożenia bezpieczeństwa dla użytkowników Steam i posiadaczy kryptowalut

Kampania podkreśla szersze zagrożenie dla cyberbezpieczeństwa: konwergencję platform gamingowych i celowania finansowego.

Konta Steam często zawierają cenne aktywa cyfrowe, takie jak:

• Zakupione gry
• Ekwipunki handlowe (w niektórych przypadkach o znacznej wartości)
• Zapisane metody płatności
• Połączone konta e-mail

W połączeniu z celowaniem w portfele kryptowalut potencjalny wpływ staje się znacznie poważniejszy.

Eksperci ostrzegają, że gdy atakujący uzyska dostęp do plików cookie sesji użytkownika lub zapisanych danych uwierzytelniających, może ominąć tradycyjne zabezpieczenia logowania, takie jak hasła, a nawet niektóre metody uwierzytelniania dwuskładnikowego.

Ostrzeżenie Kaspersky i szczegóły wykrycia

Kaspersky oznaczył złośliwą aktywność i aktywnie śledzi warianty kampanii.

Wykryte rodziny złośliwego oprogramowania, w szczególności Lumma i Vidar, są znane z:

• Szybkiej eksfiltracji danych
• Modułowych możliwości kradzieży
• Zdolności do omijania podstawowych zabezpieczeń antywirusowych
• Częstych aktualizacji w celu unikania wykrycia

Badacze ds. bezpieczeństwa podkreślają, że narzędzia te są powszechnie sprzedawane jako „malware-as-a-service", co pozwala mniej wykwalifikowanym atakującym na wdrażanie zaawansowanych kampanii.

Jak użytkownicy mogą się chronić

Eksperci ds. cyberbezpieczeństwa zalecają kilka środków ostrożności dla użytkowników Steam i posiadaczy kryptowalut:

• Pobieraj tapety tylko od zweryfikowanych lub zaufanych twórców
• Unikaj nowo przesłanych elementów Workshop z niską historią reputacji
• Regularnie przeglądaj zainstalowane subskrypcje Steam Workshop
• Używaj dedykowanych narzędzi antywirusowych i anty-malware
• Przechowuj aktywa kryptowalutowe w portfelach sprzętowych zamiast rozszerzeń przeglądarki, gdy to możliwe
• Monitoruj aktywność konta Steam pod kątem nietypowych logowań

Użytkownicy są również zachęcani do zachowania ostrożności nawet na zaufanych platformach, ponieważ systemy weryfikacji mogą być wykorzystywane lub omijane przez atakujących.

Rosnący trend wykorzystywania platform gamingowych

Ten incydent jest częścią szerszego trendu, w którym cyberprzestępcy coraz częściej atakują ekosystemy gamingowe.

W ostatnich latach atakujący używali:

• Fałszywych modów do popularnych gier
• Złośliwych cheatów do gier
• Skompromitowanych linków dystrybucyjnych Discord
• Przesyłania do Steam Workshop

Cel jest spójny: wykorzystać zaufanie użytkowników i środowiska o wysokim zaangażowaniu do masowego rozpowszechniania złośliwego oprogramowania.

Analitycy bezpieczeństwa ostrzegają, że w miarę jak platformy gamingowe nadal rosną, prawdopodobnie pozostaną głównymi celami podobnych ataków.

Podsumowanie

Odkrycie złośliwego oprogramowania dystrybuowanego poprzez Steam Wallpaper Engine za pośrednictwem Steam Workshop podkreśla rosnące zagrożenie cyberbezpieczeństwa, w którym zaufane ekosystemy cyfrowe są wykorzystywane jako broń.

Rodziny złośliwego oprogramowania, takie jak Lumma i Vidar, zdolne do kradzieży danych uwierzytelniających Steam, danych przeglądarki i informacji o portfelach kryptowalut, stwarzają ryzyko daleko wykraczające poza zwykłe przejęcie konta.

Ponieważ atakujący nadal rozwijają swoje taktyki, eksperci podkreślają, że użytkownicy muszą zachować ostrożność nawet podczas interakcji z pozornie nieszkodliwymi treściami, takimi jak tapety.

W dzisiejszym krajobrazie zagrożeń nawet proste tło pulpitu może stać się bramą do kradzieży finansowej i tożsamości.