Selon Kaspersky, cette attaque est en cours depuis la fin de l’année dernière. Près de 90 % de toutes les infections détectées ont lieu en Chine. La Russie suit loin derrière, avec un peu plus de 5 %. Des victimes ont également été recensées notamment en Allemagne, en Inde, au Canada, au Vietnam et à Singapour.Certains fichiers de téléchargement infectés ont été installés des dizaines de milliers de fois avant de disparaître de la plateforme.
Des fonds d’écran infectés volent des comptes
Steam
. Le problème ne réside pas tant dans Steam lui-même que dans le fonctionnement de Wallpaper Engine. L’application permet non seulement aux utilisateurs d’installer des fonds d’écran statiques ou animés, mais prend également en charge ce qu’on appelle les « fonds d’écran d’application ». Il s’agit en fait de petits programmes Windows qui s’exécutent en arrière-plan. C’est précisément cette fonctionnalité qui s’avère intéressante pour les cybercriminels.
Selon Kaspersky, plusieurs fonds d’écran contenaient des fichiers supplémentaires qui installaient discrètement des logiciels malveillants sur l’ordinateur dès que le fond d’écran était activé. Dans certains cas, le logiciel malveillant se trouvait simplement parmi les fichiers de fond d’écran normaux. D’autres paquets utilisaient des archives protégées par mot de passe qui étaient automatiquement décompressées par des scripts fournis avec le fond d’écran.
Les chercheurs ont notamment découvert des voleurs de mots de passe, des cryptomineurs, des ransomwares et des portes dérobées. Des familles de logiciels malveillants connues telles que Lumma, Vidar et DarkKomet apparaissaient régulièrement.
Les attaquants utilisent des comptes volés pour poursuivre la propagation
Ce qui rend cette campagne particulièrement tenace, c’est la manière dont elle se propage. L’une des variantes de malware étudiées recherchait activement les identifiants Steam sur le système infecté. Dès qu’un compte était piraté, les attaquants utilisaient ce profil pour mettre en ligne de nouveaux fonds d’écran infectés. La campagne pouvait ainsi se poursuivre, même lorsque Steam supprimait les fichiers précédemment détectés. De nouveaux fichiers infectés apparaissaient tout simplement via d’autres comptes piratés.
Les chercheurs soupçonnent d’ailleurs qu’il n’y a pas un seul groupe à l’origine de cette campagne. Plusieurs cybercriminels semblent avoir découvert la même technique et l’utilisent pour diffuser divers logiciels malveillants. Pour Steam, ce n’est d’ailleurs pas la première fois que des logiciels malveillants apparaissent via la plateforme. Au cours des dernières années, plusieurs mods, jeux et autres téléchargements infectés ont déjà été découverts. Ainsi, le FBI a mis en garde plus tôt cette année contre des jeux Steam malveillants qui faisaient des victimes depuis 2024.
Lire aussi : Windows Defender : 4 paramètres critiques pour lutter contre les logiciels malveillants
