游戏玩家小心：Steam 上的恶意壁纸被发现窃取帐户

目录 什么是 Wallpaper Engine？应用程序壁纸：内置安全风险 受感染的游戏壁纸内部 归因和受害者 如何保持安全 妥协指标 作者 Maxim Starodubov Denis Brylev 自 2025 年底以来，恶意软件已通过 Steam Workshop（游戏平台为玩家创建和共享自定义内容提供的内置服务）快速传播。攻击者主要针对中国和俄罗斯的游戏玩家，旨在劫持他们的帐户。为了实现这一目标，他们正在利用 Wallpaper Engine（Steam 上流行的动态壁纸应用程序），特别是利用其创意工坊共享功能。该恶意软件隐藏在用户相互共享的壁纸包中。运行这些受感染的壁纸之一可能会导致 Steam 帐户被盗，或者使受害者的系统感染后门或加密货币矿工。什么是壁纸引擎？ Wallpaper Engine 是一款可让您在桌面上放置动画壁纸的应用程序。它适用于 Windows 和 Android，但我们的调查主要集中在 Windows 版本。得益于庞大的 Steam 社区，该应用非常受欢迎，拥有约 10 万日活跃用户和近百万条评论。它带有内置编辑器，因此用户可以创建自己的设计，并且支持几种不同的壁纸类型： 视频：MP4、WebM 和其他常见视频格式 场景：在应用程序自己的编辑器内构建的交互式壁纸 网页：由 JavaScript 和 CSS 支持的 HTML 页面，其中还可以包括音频和视频元素 应用程序：来自第三方 Windows 兼容软件的活动窗口，Wallpaper Engine 将其设置为用户的桌面背景 最后一种类型（应用程序壁纸）是有风险的，因为它们本质上是独立程序。它们可以是任何东西，从您在桌面上玩的迷你游戏，到计划程序、日历、系统监视器或跟踪 CPU 或 GPU 使用情况的小部件。应用程序壁纸：内置的安全风险“应用程序壁纸”的整个概念本质上允许外国代码直接在您的计算机上运行。网络犯罪分子注意到了这一功能，并开始将恶意软件直接嵌入到这些类型的壁纸中。由于 Wallpaper Engine 依赖 Steam Workshop 进行内容共享，因此任何人都可以创建壁纸并将其发布给社区供免费下载和安装。自然，这种设置对坏人来说很有吸引力。我们发现 Steam 创意工坊周围漂浮着数十个此类恶意应用程序壁纸，每一个都已被下载数千次甚至数万次。当我们分析它们时，我们发现了攻击者用来传播恶意软件的两种不同方法： 包含可执行壁纸和恶意文件的存档。该有效负载通常由受损的 EXE 文件、DLL 或恶意脚本组成。在其他情况下，攻击者通过将恶意软件隐藏在受密码保护的存档中来抛出曲线球。受害者要么被诱骗输入密码，要么脚本自动处理它。攻击者会将密码隐藏在众目睽睽之下——要么隐藏在存档名称中，要么隐藏在与其他壁纸文件一起安装的 JSON 配置中。对于所有其他变体，当用户选择并应用壁纸时，有效负载会自动触发。受感染的游戏壁纸内部 壁纸应用程序的主屏幕 从表面上看，我们在 2025 年 12 月发现的这个壁纸样本（上图）看起来完全无害。一旦启动，绝对没有什么可以引发您的怀疑。内置游戏启动完美，运行流畅，桌面控件也能正常工作。但在幕后，全面的感染正在进行。在短短几分钟内，用户可能会突然意识到他们的 Steam 帐户已被劫持，或者发现他们的计算机被恶意软件瘫痪，他们的文件被勒索软件加密，或者由于隐藏的加密矿工而导致系统性能下降。恶意软件如何部署一旦游戏壁纸启动，它就会将一个名为 Synaptics.exe（DarkKomet 恶意软件家族的一部分）的后门文件直接投放到受害者的系统中。同时，名为 ._cache_GAME1.exe 的可执行文件启动以启动实际的游戏 NTRaholic。但是 ._cache_GAME1.exe 模块正在执行双重任务。它同时安装一个名为 AggregatorHost.dll 的系统库的自定义版本，其中包含有效负载。这个修改后的库有一个主要目标：追踪计算机上的 Steam 应用程序并寻找帐户凭据。寻找 Steam 应用程序 接下来，修改后的库会劫持用户的实时 Steam 会话。劫持 Steam 会话 之后，受损的 AggregatorHost.dll 将所有收集到的数据发送到黑客控制的服务器（hxxp://120.48.156[.]17/ey.php）。一旦攻击者控制了该活动会话，他们就可以使用受害者