Angrep via Steam Workshop
I en rapport publisert mandag, opplyste Kaspersky at angripere har brukt Steam Workshop for å distribuere ondsinnede nedlastinger av Wallpaper Engine, forkledd som animerte skrivebordsbakgrunner, mange med kvinnelige anime-karakterer.
«Den applikasjonsbaserte bakgrunnsfunksjonen lar kjørbare programmer kjøre direkte på en brukers Windows-datamaskin, noe som gir angriperne mulighet til å distribuere ondsinnet programvare under dekke av legitimt innhold,» sa Kaspersky.
De hadde identifisert dusinvis av infiserte bakgrunnspakker tilgjengelig gjennom Steam Workshop. Kaspersky identifiserte også bakgrunnsdistribuerende Lumma og Vidar infostealers, malware-familier som ofte brukes til å stjele legitimasjon, nettleserdata og informasjon om kryptovaluta-lommebøker, i tillegg til RenEngine-lasteren.
Omfanget av infeksjoner
Forskere bemerket at aktiviteten så ut til å involvere flere trusselaktører i stedet for en enkelt gruppe.
«Mange av disse pakkene hadde tusenvis, eller til og med titusenvis, av nedlastinger,» sa firmaet.
Ifølge Kaspersky var ofrene for malware-kampanjen primært i Kina og Russland, selv om infeksjoner også ble registrert i Singapore, Hong Kong, Tyskland, Vietnam, India og Canada.
Metoder for distribusjon
De ondsinnede bakgrunnene pakket enten malware direkte eller skjulte det i passordbeskyttede arkiver som ble pakket ut etter installasjon, sa selskapet, og bemerket et tilfelle fra 2025 der en bakgrunn så ut til å starte et legitimt skrivebordsspill mens det hemmelig installerte DarkKomet bakdøren.
«Pålitelige plattformer kan misbrukes for å distribuere malware: Angrepene er avhengige av at brukerne stoler på innhold som er vert innen legitime økosystemer,» sa Kaspersky-forsker Maxim Starodubov i en uttalelse.
«Selv om mange av malware-familiene som er involvert er godt kjente, gjør leveringsmekanismen det mulig for angripere å nå et stort antall potensielle ofre gjennom tilsynelatende harmløst innhold.»
Tidligere hendelser
Funnene legger til en voksende liste over Steam-relaterte malware-hendelser. I juli 2025 rapporterte forskere fra cybersikkerhetsfirmaet Prodaft at Steam Early Access-spillet Chemia hadde blitt kompromittert for å distribuere Hijack Loader, Fickle Stealer og Vidar Stealer malware som retter seg mot kryptovaluta-lommebøker og brukerdata.
I mars kunngjorde FBI en etterforskning av malware distribuert gjennom flere Steam-spill, inkludert Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara og Tokenova.
