Wallpaper Engine no Steam Workshop: Ataques de Malware Disfarçados de Papéis de Parede
Pesquisadores da Kaspersky Lab descobriram dezenas de papéis de parede maliciosos no Steam Workshop para o Wallpaper Engine. Os atacantes exploram o recurso para distribuir malware, roubar contas Steam e instalar backdoors e cryptominers.
MundiX News·18 de junho de 2026·4 min de leitura·👁 1 views
Analistas da Kaspersky Lab identificaram dezenas de projetos maliciosos no Steam Workshop destinados ao Wallpaper Engine. Os criminosos estão utilizando o mecanismo de compartilhamento de papéis de parede para disseminar malware, roubar contas Steam, instalar backdoors, cryptominers e outros tipos de software malicioso. A campanha maliciosa está ativa desde o final de 2025, com foco principal em usuários da China e Rússia, embora jogadores de outras nações também possam ser alvos.
O Wallpaper Engine é um aplicativo popular na plataforma Steam que permite aos usuários criar e utilizar papéis de parede animados. O software inclui um editor integrado para a criação de projetos personalizados e suporta diversos tipos de conteúdo, como vídeos, cenas e páginas web. Uma funcionalidade particularmente explorada por atacantes é o suporte a "papéis de parede-aplicativos". Essencialmente, estes são aplicativos Windows completos que podem ser executados diretamente no desktop do usuário. Entre eles, encontram-se jogos, sistemas de monitoramento, calendários e outras utilidades. É precisamente este tipo de conteúdo que os hackers estão abusando, pois, por serem códigos executáveis, permitem a execução não apenas de programas legítimos, mas também de componentes maliciosos.
A estratégia de ataque envolve a publicação de dezenas de projetos infectados no Steam Workshop, alguns dos quais foram baixados milhares ou até dezenas de milhares de vezes. Em certos casos, a carga maliciosa (payload) era distribuída junto com o papel de parede na forma de arquivos executáveis (.EXE), bibliotecas (.DLL) ou scripts. Em outras situações, os atacantes ocultavam o código malicioso em arquivos compactados protegidos por senha. A senha podia ser solicitada ao usuário ou extraída automaticamente por um script embutido. Um exemplo notável de malware descoberto disfarçava-se como um papel de parede de jogo. Após a execução, o usuário via um jogo totalmente funcional, sem notar nada de suspeito. No entanto, uma cadeia de infecção era executada em segundo plano, instalando um backdoor da família DarkKomet sob o nome Synaptics.exe e lançando um componente adicional, ._cache_GAME1.exe. Este último era responsável por iniciar o jogo embutido e por implantar uma biblioteca modificada, AggregatorHost.dll. A principal função desta DLL era localizar o cliente Steam em execução e interceptar a sessão ativa do usuário. Os dados coletados eram enviados para um servidor de comando e controle (C2) dos criminosos, permitindo o roubo da conta ou a disseminação posterior de papéis de parede maliciosos através do Steam Workshop.
Os pesquisadores observam que o exemplo encontrado é apenas uma das muitas variantes. Diversas famílias de malware foram distribuídas através do Wallpaper Engine, incluindo stealers como Lumma e Vidar, o loader RenEngine, backdoors, clientes de botnet e cryptominers. Isso sugere que diferentes grupos de ataque estão por trás dessas atividades. A China registrou a maior parte das tentativas de download de papéis de parede infectados, com aproximadamente 89% dos casos, seguida pela Rússia com 5,5%. Outros países afetados incluem Singapura, Hong Kong, Alemanha, Vietnã, Índia e Canadá. Atualmente, os moderadores do Steam removeram os papéis de parede maliciosos detectados e seus links. No entanto, os pesquisadores alertam que novos papéis de parede infectados continuam a aparecer no Steam Workshop. Portanto, os usuários são aconselhados a ter cautela com papéis de parede-aplicativos e a verificar tal conteúdo com soluções de segurança antes de executá-lo.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Analistas da Kaspersky Lab identificaram dezenas de projetos maliciosos no Steam Workshop destinados ao Wallpaper Engine. Os criminosos estão utilizando o mecanismo de compartilhamento de papéis de parede para disseminar malware, roubar contas Steam, instalar backdoors, cryptominers e outros tipos de software malicioso. A campanha maliciosa está ativa desde o final de 2025, com foco principal em usuários da China e Rússia, embora jogadores de outras nações também possam ser alvos.
O Wallpaper Engine é um aplicativo popular na plataforma Steam que permite aos usuários criar e utilizar papéis de parede animados. O software inclui um editor integrado para a criação de projetos personalizados e suporta diversos tipos de conteúdo, como vídeos, cenas e páginas web. Uma funcionalidade particularmente explorada por atacantes é o suporte a "papéis de parede-aplicativos". Essencialmente, estes são aplicativos Windows completos que podem ser executados diretamente no desktop do usuário. Entre eles, encontram-se jogos, sistemas de monitoramento, calendários e outras utilidades. É precisamente este tipo de conteúdo que os hackers estão abusando, pois, por serem códigos executáveis, permitem a execução não apenas de programas legítimos, mas também de componentes maliciosos.
A estratégia de ataque envolve a publicação de dezenas de projetos infectados no Steam Workshop, alguns dos quais foram baixados milhares ou até dezenas de milhares de vezes. Em certos casos, a carga maliciosa (payload) era distribuída junto com o papel de parede na forma de arquivos executáveis (.EXE), bibliotecas (.DLL) ou scripts. Em outras situações, os atacantes ocultavam o código malicioso em arquivos compactados protegidos por senha. A senha podia ser solicitada ao usuário ou extraída automaticamente por um script embutido. Um exemplo notável de malware descoberto disfarçava-se como um papel de parede de jogo. Após a execução, o usuário via um jogo totalmente funcional, sem notar nada de suspeito. No entanto, uma cadeia de infecção era executada em segundo plano, instalando um backdoor da família DarkKomet sob o nome Synaptics.exe e lançando um componente adicional, ._cache_GAME1.exe. Este último era responsável por iniciar o jogo embutido e por implantar uma biblioteca modificada, AggregatorHost.dll. A principal função desta DLL era localizar o cliente Steam em execução e interceptar a sessão ativa do usuário. Os dados coletados eram enviados para um servidor de comando e controle (C2) dos criminosos, permitindo o roubo da conta ou a disseminação posterior de papéis de parede maliciosos através do Steam Workshop.
Os pesquisadores observam que o exemplo encontrado é apenas uma das muitas variantes. Diversas famílias de malware foram distribuídas através do Wallpaper Engine, incluindo stealers como Lumma e Vidar, o loader RenEngine, backdoors, clientes de botnet e cryptominers. Isso sugere que diferentes grupos de ataque estão por trás dessas atividades. A China registrou a maior parte das tentativas de download de papéis de parede infectados, com aproximadamente 89% dos casos, seguida pela Rússia com 5,5%. Outros países afetados incluem Singapura, Hong Kong, Alemanha, Vietnã, Índia e Canadá. Atualmente, os moderadores do Steam removeram os papéis de parede maliciosos detectados e seus links. No entanto, os pesquisadores alertam que novos papéis de parede infectados continuam a aparecer no Steam Workshop. Portanto, os usuários são aconselhados a ter cautela com papéis de parede-aplicativos e a verificar tal conteúdo com soluções de segurança antes de executá-lo.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
