Warnung vor bösartigen Downloads im Steam Workshop
In einem am Montag veröffentlichten Bericht warnte Kaspersky, dass Angreifer den Steam Workshop genutzt haben, um bösartige Downloads für die Wallpaper Engine zu verbreiten. Diese Downloads sind als animierte Desktop-Hintergründe getarnt, von denen viele weibliche Anime-Charaktere zeigen.
„Die anwendungsbasierte Wallpaper-Funktion ermöglicht es ausführbaren Programmen, direkt auf dem Windows-Computer eines Benutzers zu laufen. Dadurch können Angreifer bösartige Software unter dem Deckmantel legitimer Inhalte verbreiten“, erklärte Kaspersky.
Das Unternehmen identifizierte Dutzende von infizierten Wallpaper-Paketen, die über den Steam Workshop verfügbar sind. Kaspersky stellte außerdem fest, dass einige dieser Wallpaper Lumma und Vidar Infostealer verbreiten, Malware-Familien, die häufig verwendet werden, um Anmeldeinformationen, Browserdaten und Informationen zu Kryptowährungs-Wallets zu stehlen, sowie den RenEngine-Loader.
Die Forscher berichteten, dass die Aktivität mehrere Bedrohungsakteure betraf, anstatt nur einer einzelnen Gruppe.
„Viele dieser Pakete hatten Tausende oder sogar Zehntausende von Downloads“,
so das Unternehmen. Laut Kaspersky waren die Opfer der Malware-Kampagne hauptsächlich in China und Russland, jedoch wurden auch Infektionen in Singapur, Hongkong, Deutschland, Vietnam, Indien und Kanada festgestellt.
Die bösartigen Wallpaper enthielten entweder Malware direkt oder versteckten sie in passwortgeschützten Archiven, die nach der Installation entpackt wurden. Ein Beispiel aus dem Jahr 2025 zeigt, dass ein Wallpaper anscheinend ein legitimes Desktop-Spiel startete, während es heimlich das DarkKomet-Hintertürprogramm installierte.
„Vertrauenswürdige Plattformen können missbraucht werden, um Malware zu verbreiten: Die Angriffe basieren darauf, dass Benutzer den Inhalten vertrauen, die innerhalb legitimer Ökosysteme gehostet werden“, erklärte Kaspersky-Forscher Maxim Starodubov.
„Obwohl viele der beteiligten Malware-Familien gut bekannt sind, ermöglicht der Liefermechanismus Angreifern, eine große Anzahl potenzieller Opfer durch scheinbar harmlose Inhalte zu erreichen.“ Diese Ergebnisse erweitern eine wachsende Liste von Malware-Vorfällen im Zusammenhang mit Steam.
Im Juli 2025 berichteten Forscher der Cybersicherheitsfirma Prodaft, dass das Steam Early Access-Spiel Chemia kompromittiert wurde, um Hijack Loader, Fickle Stealer und Vidar Stealer-Malware zu verbreiten, die auf Kryptowährungs-Wallets und Benutzerdaten abzielt. Im März kündigte das FBI eine Untersuchung zu Malware an, die durch mehrere Steam-Spiele verteilt wurde, darunter Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara und Tokenova.
