В мастерской Steam обнаружены десятки вредоносных обоев для Wallpaper Engine: аккаунты игроков под угрозой

С конца 2025 года в Steam Workshop (встроенной в Steam мастерской для разработки и обмена пользовательским контентом) активно распространяется вредоносное программное обеспечение. Основной целью атакующих является кража аккаунтов игроков, преимущественно из Китая и России. Для заражения злоумышленники эксплуатируют Wallpaper Engine, популярную программу анимации обоев, размещенную в Steam, а именно ее механизм обмена обоями через Steam Workshop. Вредоносное ПО скрывается внутри пакетов обоев, которыми пользователи делятся друг с другом. Запуск подобных обоев может привести к краже учетной записи Steam и установке в системе жертвы, например, бэкдоров или криптомайнеров.

Что такое Wallpaper Engine

Wallpaper Engine — это приложение, которое позволяет устанавливать анимированные обои на рабочий стол пользователя. Его модификации выпускаются для операционных систем Windows и Android, однако мы исследовали только Windows-версию. Благодаря обширному сообществу Steam приложение достаточно популярно — у него около 100 тысяч активных пользователей в день и чуть меньше одного миллиона отзывов. Wallpaper Engine включает в себя встроенный редактор обоев для создания собственных проектов и поддерживает несколько типов обоев:

• видео — MP4, WebM и другие форматы;
• сцены — интерактивные обои, созданные во встроенном редакторе;
• веб-страницы — HTML-страницы с поддержкой JavaScript, CSS, а также аудио- и видеоресурсов;
• приложения — активные окна любого стороннего ПО, совместимого с Windows, которые Wallpaper Engine устанавливает в качестве фона рабочего стола.

Последний тип — обои в виде приложения — является самостоятельным программным обеспечением. Среди них могут быть игры, которые запускаются прямо на рабочем столе, планировщики и календари, системы мониторинга, утилиты для отслеживания загрузки видеокарты или процессора и т. д.

Обои-приложения — риск для безопасности

Сама концепция «обои в виде приложения» открывает путь для запуска чужого кода непосредственно в системе. Злоумышленники воспользовались этой функцией и начали внедрять в данный тип обоев вредоносное программное обеспечение. В Wallpaper Engine, как выше сказано, используются возможности Steam Workshop для обмена созданными обоями. Такой обмен подразумевает, что пользователи могут создавать обои и публиковать их в Steam Workshop в открытом доступе для свободного скачивания и установки, что привлекает злоумышленников.

Мы обнаружили в Steam Workshop десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз:

При анализе таких обоев мы зафиксировали два типа распространения.

• Архив, внутри которого были исполняемые обои и вредоносные файлы. В качестве вредоносной нагрузки могли использоваться, например, EXE-файлы, DLL-библиотеки и скрипты.
• В других случаях атакующие дополнительно помещали вредоносный код в архив, защищенный паролем. Пароль должна была вводить жертва, или это делал скрипт. Злоумышленники записывали пароль либо в названии самого архива, либо в файле конфигурации в формате JSON, который устанавливался вместе с исходными файлами обоев. В остальных случаях вредоносная нагрузка запускалась полностью автоматически после выбора и установки обоев пользователем.

Анализ вредоносных обоев с игрой

Главный экран обоев-приложения

На скриншоте выше — образец обоев, который мы обнаружили в декабре 2025 года. После запуска пользователь не видел ничего подозрительного. В обои была встроена игра, которая стартовала корректно и работала без явных проблем, а кнопки управления игровым процессом на рабочем столе оставались функциональными. Однако за кадром происходил процесс заражения, и спустя несколько минут пользователь мог обнаружить, что его учетная запись Steam украдена, а на компьютере работает вредоносное ПО: файлы шифруются «вымогателем», производительность системы упала из-за майнера.

Схема развертывания вредоносного ПО

После запуска обоев с игрой в систему жертвы устанавливался файл‑бэкдор (Synaptics.exe) из семейства DarkKomet, а также исполняемый файл ._cache_GAME1.exe, который инициировал запуск игры NTRaholic.

Одновременно с этим модуль ._cache_GAME1.exe устанавливал модифицированную злоумышленником библиотеку AggregatorHost.dll, которая содержала дополнительную вредоносную нагрузку. Функциональность этого «патча» была ограничена — в первую очередь он искал приложение Steam с целью перехватить данные аккаунта.

Поиск приложения Steam

После этого модифицированная библиотека перехватывала активную сессию из Steam.

Перехват веб-сессии пользователя Steam

В дальнейшем библиотека AggregatorHost.dll отправляла все собранные данные на адрес hxxp://120.48.156[.]17/ey.php, принадлежащий злоумышленникам. Перехваченная сессия могла использоваться для последующего распространения вредоносных обоев в Steam Workshop.

Атрибуция и жертвы

Представленный выше образец вредоносных обоев — лишь один из множества вариантов, с которыми мы столкнулись в ходе исследования. Через механизм «обои в виде приложения» мы зафиксировали распространение самых разных типов вредоносного ПО: от популярных стилеров до бэкдоров, криптомайнеров, ботнетов.

Значительное разнообразие используемых инструментов позволяет предположить, что за атаками стоят разрозненные хакерские группы, действующие независимо друг от друга. Основной целевой аудиторией атак являются пользователи из Китая, о чем говорит стиль оформления и названия обоев, а также статистика: 89% попыток скачивания вредоносных обоев наши решения зафиксировали именно в Китае. При этом ничего не мешает злоумышленникам проводить подобные кампании и в других регионах. На втором месте по числу скачиваний Россия — 5,5%, далее Сингапур (1,4%), Гонконг (0,9%), Германия (0,9%), Вьетнам (0,9%), Индия и Канада (по 0,5%).

Количество скачиваний вредоносных обоев-приложений

Как защититься

Наше исследование показывает, что и доверенные площадки, такие как Steam Workshop, могут быть источником заражения. В большинстве случаев мы зафиксировали хорошо нам знакомое вредоносное ПО: к примеру, бэкдор DarkKomet, стилеры Lumma и Vidar, загрузчик RenEngine. Решения «Лаборатории Касперского» способны выявлять и блокировать все перечисленные выше вредоносные нагрузки независимо от степени их сложности, в том числе с использованием методов проактивной защиты. Ниже представлены примеры вердиктов, которые присвоены объектам, выявленным в ходе исследования:

• HEUR:Trojan-PSW.Win32.gen
• HEUR:Trojan-PSW.Win32.Python.gen
• HEUR:Backdoor.Win32.DarkKomet
• Trojan-Dropper.Python.Agent
• HEUR:Trojan-Ransom.Win32.Gen.gen
• PDM:Trojan.Win32.Generic.

На момент публикации обнаруженные вредоносные обои и ссылки на них были удалены командой Steam. Однако, учитывая регулярное появление новых зараженных обоев в Steam Workshop, следует обязательно использовать средства анализа вредоносного ПО перед запуском подобных обоев.

Индикаторы компрометации

MD5

• 95856f2ce428c728d9781d3296558068
• af080780cca2acd1d082ce01e7cc346a
• c133c3dd9f7d6934598025047df41abf
• d1693bbff456ae8fa3360446706df6da
• 8c2cc585ad8a13a72a704c0fda0c9854
• b9fa763a53da3eea742d0f3c845a8c09
• ded08ae5df7f1b12e5fdb767dbbed0b1
• 20965254e29104986e11939decd39549
• 18dedc0009f0927cba6425c84cce9883
• 0f4f01c6d495abb37403072dd017ce8d
• 5620f01284329f561b1839a36be55355
• fe1f6485013cd5e6d5cf718049b0b8d6
• 74414ed4b63aadec039b603c32762b80

Управляющие серверы C2

• http://202.144.192[.]29
• http://202.144.192[.]29/audit.php/
• http://202.144.192[.]29/download2/Themes2.zip/
• http://120.48.156[.]17/
• http://120.48.156[.]17/ey.php?ka=user1&id/
• http://brightly[.]to/
• http://brightly[.]to/download2/Themeszip/
• https://www.dropbox[.]com/s/zhp1b06imehwylq/Synaptics.rar?dl=1/
• https://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download/

Вредоносные обои

• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3603213159
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3591930233
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3584318845
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3436875036
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3633494498
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3556591375
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3635875825
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3601924072
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3605588743
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3553253793
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3462675635
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3605621824
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3610240788
• https://steamcommunity[.]com/sharedfiles/filedetails/?id=3610366547