Na semana passada, pesquisadores da Kaspersky publicaram uma análise detalhada de uma nova campanha de distribuição de malware no Steam Workshop, a plataforma integrada à Steam para troca de conteúdo gerado por usuários. Para infectar usuários, os criminosos estão utilizando o Wallpaper Engine, um utilitário pago para criação de papéis de parede personalizados. As capacidades do programa são bastante amplas, incluindo animação, reprodução de vídeo e até mesmo a execução de aplicativos. Foi exatamente essa funcionalidade que os organizadores do ataque exploraram.
Os pesquisadores observaram dois métodos de distribuição de malware disfarçado de papéis de parede animados. Na abordagem mais simples, um arquivo compactado era entregue à vítima, contendo tanto os papéis de parede prometidos quanto os arquivos maliciosos. Um método um pouco mais sofisticado envolvia a distribuição em um arquivo compactado já protegido por senha. Um script era anexado a ele, que descompactava o arquivo e executava a carga maliciosa automaticamente. Os papéis de parede foram publicados no Steam Workshop desde o final de 2025. Os autores do relatório encontraram dezenas de papéis de parede maliciosos, alguns dos quais com dezenas de milhares de downloads. O resultado da instalação desse tipo de software é o esperado: roubo de contas Steam, instalação de ransomware e execução de um cryptominer.
Após a execução do pacote malicioso no sistema da vítima, um arquivo backdoor é instalado, disfarçado de driver de touchpad (Synaptics.exe). Ele pertence à família de malware DarkKomet. Juntamente com o backdoor, um jogo erótico chamado NTRaholic e uma biblioteca maliciosa AggregatorHost.dll, contendo uma carga maliciosa adicional, também eram executados. Essa biblioteca adicional era responsável por roubar contas Steam. Os dados de sessão eram interceptados e enviados para o servidor dos organizadores do ataque. Posteriormente, a conta roubada poderia ser usada para distribuir papéis de parede maliciosos no Steam Workshop. De acordo com a Kaspersky, a grande maioria das tentativas de download de software malicioso do Steam Workshop se concentra na China (89%), com outros 5,5% de incidentes evitados na Rússia. Todas as variantes de código malicioso usadas nesta campanha são detectadas e bloqueadas de forma confiável pelas soluções de segurança da Kaspersky.
No momento da publicação do relatório, todos os papéis de parede maliciosos detectados foram removidos do Steam Workshop. Este ataque não é o primeiro a explorar as capacidades do Steam Workshop. Em fevereiro deste ano, um dos mods populares para o jogo People Playground também continha código malicioso. Paralelos também podem ser traçados entre este ataque e as recentes tentativas bem-sucedidas de exploração de repositórios de software públicos, como o AUR para a distribuição Arch Linux e o NPM. O público-alvo desses ataques pode variar, mas existem características comuns. Infelizmente, pode-se concluir que qualquer plataforma com a capacidade de distribuir programas executáveis e com meios mínimos de controle será atacada por criminosos mais cedo ou mais tarde.
Outras Notícias de Segurança:
- A Kaspersky também investigou o ataque PhantomRPC, uma nova técnica de escalonamento de privilégios através do mecanismo de comunicação entre processos (IPC) no Windows.
- A Apple corrigiu uma vulnerabilidade nos fones de ouvido Beats Studio Buds, que permitia a interceptação de controle total através de um protocolo de depuração proprietário. Outros fones de ouvido populares de marcas como Sony, Marshall e JBL também foram afetados.
- O servidor web Nginx recebeu um patch de emergência para corrigir várias vulnerabilidades, incluindo duas críticas.
- Uma nova ameaça Android, chamada Rokarolla, foi descoberta pela Zimperium. Ela se disfarça de instaladores de mensageiros populares e visa roubar informações de mais de duzentos aplicativos bancários e de gerenciamento de criptomoedas.
- O Microsoft Teams foi novamente utilizado para transmitir tráfego malicioso na campanha DragonForce, explorando o protocolo TURN para comunicação com o servidor de comando.
- Uma vulnerabilidade no controlador Synopsys permitiu quebrar a proteção Secure Boot em dispositivos Apple com processadores A12 e A13, abrindo caminho para jailbreaks em iPhones e iPads específicos.
- Uma nova campanha de ransomware, chamada Prinz Eugen, criptografa seletivamente arquivos modificados recentemente e não deixa notas de resgate, exigindo que as vítimas encontrem a gangue na dark web.
