Злоумышленники на протяжении последних нескольких месяцев проносили вредоносное ПО в Steam через анимированные обои для рабочего стола, захватывая аккаунты жертв, которые их устанавливали, а затем используя эти украденные аккаунты для загрузки новых зараженных файлов. Об этом сообщают исследователи «Лаборатории Касперского» Максим Стародубов и Денис Брылев, которые недавно опубликовали отчет на Securelist. Согласно отчету, кампания по распространению вредоносного ПО ведется с конца прошлого года и нацелена на геймеров в Китае, распространяя всё: от похитителей учетных данных до криптомайнеров и программ-вымогателей. «Лаборатория Касперского» обнаружила десятки вредоносных пакетов, некоторые из которых были загружены десятки тысяч раз до удаления. Виновником является Wallpaper Engine — инструмент для создания живых обоев стоимостью $4,99, который входит в число самых используемых неигровых приложений в Steam, насчитывая от 93 000 до 114 000 одновременных пользователей и почти миллион отзывов. Приложение поддерживает четыре типа обоев, и один из них, «обои-приложение», представляет собой автономную исполняемую программу Windows, которая работает в качестве фона рабочего стола. Это также открывает путь для выполнения стороннего кода на машине пользователя, чем и воспользовались злоумышленники. «Лаборатория Касперского» зафиксировала два метода доставки. В некоторых пакетах вредоносные EXE-файлы, DLL или скрипты находились непосредственно рядом с легитимными файлами обоев. В других полезная нагрузка была спрятана внутри архива, защищенного паролем, при этом пароль либо встраивался в имя архива, либо находился в конфигурационном файле JSON, что позволяло скрипту открывать его автоматически. Активация обоев запускала полезную нагрузку. В образце, изученном в декабре прошлого года, исследователям удалось запустить функциональную настольную игру, незаметно внедрив бэкдор DarkKomet под названием Synaptics.exe и измененную системную библиотеку AggregatorHost.dll. Эта библиотека находит запущенное приложение Steam, ищет учетные данные аккаунта, угоняет активную сессию и отправляет данные на командно-контрольный сервер. Контроль над активной сессией позволяет злоумышленникам публиковать новые вредоносные обои от имени жертвы, поэтому кампания постоянно возобновляется после блокировок. «Лаборатория Касперского» зафиксировала 89% попыток вредоносной загрузки в Китае, за которым следуют Россия с 5,5% и меньшие доли в Сингапуре, Гонконге, Германии, Вьетнаме, Индии и Канаде. Такое распределение соответствует более широкой базе пользователей Wallpaper Engine, которая сильно смещена в сторону Китая. Полезные нагрузки включали бэкдор DarkKomet, инфостилеры Lumma и Vidar, загрузчик RenEngine, майнеры и программы-вымогатели. Такое разнообразие исследователи объяснили тем, что несколько независимых групп использовали одну и ту же технику, а не действиями одного злоумышленника или группы. Это происходит на фоне ряда случаев проникновения вредоносного ПО к игрокам через витрину Valve за последние несколько лет. Вредоносный мод для Slay the Spire был распространен через Workshop в Рождество 2023 года, игра в раннем доступе Chemia поставлялась с тремя штаммами вредоносного ПО в июле прошлого года, а игра BlockBlasters украла около $150 000 у игроков в сентябре того же года. По состоянию на март ФБР разыскивало жертв зараженных игр Steam, датируемых 2024 годом.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
