Wie denkt dat een geanimeerde achtergrond op Steam onschuldig is, denkt daar misschien beter nog eens over na. Onderzoekers van Kaspersky hebben een grootschalige malwarecampagne ontdekt waarbij cybercriminelen schadelijke code verstoppen in wallpapers voor Wallpaper Engine, een van de populairste toepassingen op Steam.
De aanval loopt volgens Kaspersky al sinds eind vorig jaar. Bijna 90 procent van alle gedetecteerde besmettingen plaats in China. Rusland volgt op ruime afstand met iets meer dan vijf procent. Daarnaast werden ook slachtoffers geregistreerd in onder meer Duitsland, India, Canada, Vietnam en Singapore.Sommige besmette downloads werden tienduizenden keren geïnstalleerd voordat ze van het platform verdwenen.
Het probleem zit niet zozeer bij Steam zelf, maar bij de manier waarop Wallpaper Engine werkt. De applicatie laat gebruikers niet alleen statische of geanimeerde achtergronden installeren, maar ondersteunt ook zogenaamde application wallpapers. Dat zijn in feite kleine Windows-programma’s die als achtergrond worden uitgevoerd. Precies die functie blijkt interessant voor cybercriminelen.
Volgens Kaspersky werden in verschillende wallpapers extra bestanden verstopt die ongemerkt malware op de computer installeren zodra de achtergrond wordt geactiveerd. In sommige gevallen zat de schadelijke software gewoon tussen de normale wallpaperbestanden. Andere pakketten gebruikten wachtwoordbeveiligde archieven die automatisch werden uitgepakt door scripts die meegeleverd werden met de wallpaper.
De onderzoekers troffen onder meer wachtwoorddieven, cryptominers, ransomware en backdoors aan. Bekende malwarefamilies zoals Lumma, Vidar en DarkKomet doken daarbij regelmatig op.
Wat de campagne extra hardnekkig maakt, is de manier waarop ze zichzelf verspreidt. Een van de onderzochte malwarevarianten ging actief op zoek naar Steam-inloggegevens op het besmette systeem. Zodra een account werd buitgemaakt, gebruikten de aanvallers dat profiel om nieuwe geïnfecteerde wallpapers te uploaden. Daardoor bleef de campagne doorgaan, zelfs wanneer Steam eerder ontdekte bestanden verwijderde. Nieuwe besmette uploads verschenen simpelweg via andere gekaapte accounts.
De onderzoekers vermoeden overigens dat niet één enkele groep achter de campagne zit. Verschillende cybercriminelen lijken dezelfde techniek te hebben ontdekt en gebruiken die om uiteenlopende malware te verspreiden. Voor Steam is het bovendien niet de eerste keer dat malware via het platform opduikt. De voorbije jaren werden al meerdere besmette mods, games en andere downloads ontdekt. Zo waarschuwde de FBI eerder dit jaar nog voor schadelijke Steam-games die al sinds 2024 slachtoffers maakten.
Lees ook: Windows Defender: 4 kritieke instellingen in de strijd tegen malware
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
