Специалисты «Лаборатории Касперского» обнаружили в Steam Workshop кампанию по распространению вредоносного ПО через Wallpaper Engine. По данным исследователей, кампания активна как минимум с конца 2025 года, а основное внимание злоумышленников направлено на пользователей в Китае и России.
Wallpaper Engine — популярное приложение для анимированных фонов, которое поддерживает так называемые «обои-приложения». Это полноценные программы — игры, виджеты и утилиты — которые запускаются прямо на рабочем столе. Обои-приложения представляют собой обычный исполняемый код, что позволяет внедрять в них вредоносные компоненты.
Аналитики нашли в Steam Workshop десятки заражённых проектов; некоторые из них успели набрать десятки тысяч загрузок. Вредоносная нагрузка шла вместе с обоями в виде EXE-файлов, DLL-библиотек или скриптов либо содержалась в защищённых паролем архивах. В некоторых случаях владельцев устройств обманом заставляли вручную распаковать архив и запустить файл, иногда вредоносное ПО запускалось автоматически при установке обоев.
«Лаборатория Касперского» обнаружила несколько семейств программ, которые распространялись через Wallpaper Engine. Среди них — бэкдор DarkKomet, программы-похитители информации Lumma и Vidar, майнеры криптовалюты, загрузчики ботнетов, вредонос RanEngine и полезные нагрузки шифровальщиков. Эксперты полагают, что за кампанией стоят разные группировки с разными целями — от кражи учётных данных до подготовки атак вымогателей и скрытого майнинга.
Больше всего попыток загрузки заражённых обоев пришлось на Китай — около 89% всех зарегистрированных случаев. Россия заняла второе место с долей примерно 5,5%. В списке также присутствуют Сингапур, Гонконг, Германия, Вьетнам, Индия и Канада.
Steam удалил обнаруженные заражённые обои после обращения исследователей, но специалисты предупреждают, что они могут появиться вновь. Пользователям советуют загружать контент Workshop только от проверенных авторов, а перед запуском сканировать скачанные файлы актуальным антивирусом.
