Threat actors estão abusando do Steam Workshop, o centro de comunidade da Valve para baixar conteúdos relacionados a jogos, para distribuir diferentes tipos de malware escondidos em pacotes de papéis de parede.
Esses papéis de parede infectados podem levar ao sequestro de contas da Steam, ao comprometimento do sistema com um backdoor ou à execução de processos de mineração de criptomoedas.
O Steam Workshop é uma plataforma nativa de compartilhamento de conteúdo no serviço de jogos Steam, da Valve, onde usuários podem enviar e baixar conteúdos criados pela comunidade para jogos e aplicativos.
Esse material inclui mods, mapas, skins, arquivos de salvamento, ferramentas e outros conteúdos gerados por usuários, como papéis de parede.
Em um relatório divulgado nesta segunda-feira, pesquisadores da empresa de cibersegurança Kaspersky afirmam que os ataques exploram o aplicativo de personalização de desktop Wallpaper Engine, disponível na Steam, que já acumula quase 1 milhão de avaliações.
O Wallpaper Engine oferece suporte a quatro tipos de papéis de parede: vídeos, cenas interativas, páginas da web que podem reproduzir áudio e vídeo e aplicativos, que são janelas ativas de softwares que o Wallpaper Engine define como plano de fundo da área de trabalho.
Os papéis de parede do tipo aplicativo são programas executáveis do Windows que podem incluir jogos, widgets para desktop e ferramentas de monitoramento do sistema.
A Kaspersky alerta que esse recurso representa um risco de segurança embutido e já foi abusado para distribuir malware a usuários da Steam.
Segundo os pesquisadores, os invasores vêm explorando essa brecha de segurança desde pelo menos o fim de 2025, enviando arquivos maliciosos de papéis de parede para o Steam Workshop e enganando usuários para que os instalem por meio do Wallpaper Engine.
“Descobrimos dezenas desses papéis de parede maliciosos do tipo aplicativo circulando pelo Steam Workshop, e cada um deles já havia sido baixado milhares, ou até dezenas de milhares, de vezes”, afirma a Kaspersky.
A análise dos papéis de parede comprometidos mostrou que o malware vinha embutido diretamente no pacote ou dentro de arquivos compactados protegidos por senha, que o usuário era induzido a abrir.
Os payloads são executados automaticamente no momento em que o usuário instala o papel de parede, dizem os pesquisadores.
A Kaspersky testou um desses papéis de parede, que se passava por um jogo chamado NTRaholic, e ele foi iniciado como esperado ao ser executado, para reduzir suspeitas.
No entanto, um arquivo backdoor, parte da família de malware DarkKomet, foi instalado em segundo plano.
Também foi instalada uma versão personalizada de uma biblioteca do sistema chamada “AggregatorHost.dll”, usada para procurar contas da Steam no computador e roubar credenciais de acesso.
Os pesquisadores encontraram vários casos envolvendo outras famílias de malware, como os infostealers Lumma e Vidar, mineradores de criptomoedas, carregadores de botnet, RanEngine e até variantes de ransomware, o que mostra que o Wallpaper Engine foi abusado por múltiplos threat actors.
Embora a Steam tenha identificado e removido todos os aplicativos maliciosos de papéis de parede apontados pela Kaspersky, os pesquisadores alertam que os threat actors provavelmente tentarão enviar novos arquivos.
Além de baixar conteúdos apenas de fontes confiáveis, a Kaspersky recomenda que os usuários verifiquem qualquer arquivo obtido no Steam Workshop com um antivírus atualizado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...