Varning från Kaspersky om skadliga nedladdningar
I en rapport som publicerades i måndags varnar Kaspersky för att angripare använder Steam Workshop för att sprida skadliga nedladdningar av Wallpaper Engine, som är maskerade som animerade skrivbordsbakgrunder, många med kvinnliga animekaraktärer.
”Den applikationsbaserade bakgrundsbildsfunktionen tillåter körbara program att köras direkt på en användares Windows-dator, vilket gör att angripare kan distribuera skadlig programvara under förevändningen av legitimt innehåll,” säger Kaspersky.
Kaspersky har identifierat dussintals infekterade bakgrundsbildspaket tillgängliga genom Steam Workshop. De har också identifierat bakgrundsbildsdistributörerna Lumma och Vidar, som är infostealers, malwarefamiljer som vanligtvis används för att stjäla autentiseringsuppgifter, webbläsardata och information om kryptovaluta plånböcker, tillsammans med RenEngine-laddaren.
Spridning av malware och offer
Forskare rapporterar att aktiviteten verkar involvera flera hotaktörer snarare än en enda grupp.
”Många av dessa paket hade tusentals eller till och med tiotusentals nedladdningar,” säger företaget.
Enligt Kaspersky var offren för malwarekampanjen främst i Kina och Ryssland, även om infektioner också har observerats i Singapore, Hongkong, Tyskland, Vietnam, Indien och Kanada. De skadliga bakgrundsbilderna antingen paketerade malware direkt eller gömde det i lösenordsskyddade arkiv som packades upp efter installationen.
Exempel på skadliga aktiviteter
Kaspersky nämner ett fall från 2025 där en bakgrundsbild verkade starta ett legitimt skrivbordsspel medan den hemligt installerade DarkKomet-bakdörren.
”Betrodda plattformar kan missbrukas för att distribuera malware: Attackerna förlitar sig på att användare litar på innehåll som är värd inom legitima ekosystem,” säger Kaspersky-forskaren Maxim Starodubov i ett uttalande.
”Även om många av de involverade malwarefamiljerna är välkända, gör leveransmekanismen det möjligt för angripare att nå stora antal potentiella offer genom till synes ofarligt innehåll.”
Ökande antal Steam-relaterade malwareincidenter
Fynden lägger till en växande lista av Steam-relaterade malwareincidenter. I juli 2025 rapporterade forskare från cybersäkerhetsföretaget Prodaft att Steam Early Access-spelet Chemia hade blivit komprometterat för att distribuera Hijack Loader, Fickle Stealer och Vidar Stealer malware som riktade sig mot kryptovaluta plånböcker och användardata. I mars meddelade FBI en utredning om malware som distribuerades genom flera Steam-spel, inklusive Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara och Tokenova.
