Des pirates informatiques détournent le Steam Workshop, la plateforme communautaire de Valve, pour diffuser des programmes malveillants. Ils les cachent dans des packs de fonds d’écran à télécharger.
Ces fichiers infectés peuvent mener à la prise de contrôle de comptes Steam, à l’installation d’une porte dérobée sur le système, ou au lancement de processus de minage de cryptomonnaie.
Le Steam Workshop est intégré au service de jeux Steam et permet aux utilisateurs de partager des créations, comme des mods ou des fonds d’écran.
Des programmes malveillants dans les fonds d’écran
Les experts de la société de cybersécurité Kaspersky rapportent que ces attaques exploitent l’application de personnalisation Wallpaper Engine, très populaire sur Steam.
Cette application gère quatre types de fonds d’écran, dont les « applications », qui sont en réalité des programmes Windows exécutables. Kaspersky alerte sur le risque de sécurité inhérent à cette fonctionnalité, car des pirates l’ont utilisée pour diffuser des logiciels malveillants.
Les chercheurs indiquent que les attaquants profitent de cette faille depuis au moins fin 2024. Ils téléchargent des fichiers malveillants sur le Steam Workshop et incitent les utilisateurs à les installer via Wallpaper Engine.
« Nous avons découvert des dizaines de ces fonds d’écran malveillants sur le Steam Workshop, et chacun avait déjà été téléchargé des milliers, voire des dizaines de milliers de fois », précise Kaspersky.
Source : Kaspersky
L’analyse montre que le logiciel malveillant est intégré directement au pack ou placé dans des archives protégées par mot de passe. L’utilisateur est ensuite incité à les ouvrir.
La charge malveillante s’exécute automatiquement dès que l’utilisateur installe le fond d’écran.
Source : Kaspersky
Kaspersky a testé un fond d’écran qui se faisait passer pour un jeu nommé NTRaholic. Ce dernier s’est lancé normalement pour ne pas éveiller les soupçons. En parallèle, un fichier de la famille de porte dérobée DarkKomet a été installé en arrière-plan.
Une version piratée d’une bibliothèque système nommée ‘AggregatorHost.dll’ a aussi été installée. Elle recherche les comptes Steam sur l’ordinateur pour voler les identifiants.
Source : Kaspersky
Les chercheurs ont identifié d’autres cas impliquant des familles de logiciels malveillants comme les voleurs de données Lumma et Vidar, des mineurs de cryptomonnaie, des chargeurs de botnet, RanEngine, et même des rançongiciels. Cela révèle que plusieurs groupes de pirates ont abusé de Wallpaper Engine.
Valve a retiré tous les fonds d’écran malveillants signalés par Kaspersky. Cependant, les chercheurs avertissent que les pirates vont probablement en soumettre de nouveaux.
En plus de télécharger du contenu depuis des sources fiables, Kaspersky conseille aux utilisateurs d’analyser tout fichier provenant du Steam Workshop avec un antivirus à jour.