أفاد Kaspersky أن حزم Wallpaper Engine الضارة التي تم تحميلها إلى Steam Workshop قد تم تنزيلها آلاف المرات، مما أدى إلى سرقة بيانات اعتماد Steam والاستيلاء على الجلسات النشطة وتقديم حمولات إضافية مثل Lumma وVidar infostealers.
طريقة التوزيع والحمولات
أظهر تحليل Kaspersky أن المهاجمين أخفوا خلفيات متحركة - العديد منها يعرض أعمالًا فنية لرسوم الأنيمي النسائية - كمحتوى مشروع، مستغلين ميزة الخلفية المستندة إلى التطبيق والتي تقوم بتشغيل تعليمات برمجية قابلة للتنفيذ على أجهزة Windows. لم تلتقط الحزم الضارة تفاصيل تسجيل الدخول فحسب، بل قامت أيضًا بتثبيت أداة تحميل RenEngine، والتي جلبت لاحقًا برنامجي سرقة المعلومات Lumma وVidar. تستهدف عائلات البرامج الضارة هذه بيانات المتصفح ومعلومات محفظة العملات المشفرة، مما يشكل تهديدًا مباشرًا لمستثمري العملات المشفرة.
النطاق الجغرافي والجهات الفاعلة في مجال التهديد
أثرت الحملة في المقام الأول على المستخدمين في الصين وروسيا، بينما تم تسجيل الإصابات أيضًا في سنغافورة وهونج كونج وألمانيا وفيتنام والهند وكندا. وحدد كاسبرسكي مجموعات تهديد متعددة تقف وراء العملية، مما يشير إلى جهد منسق وليس جهة فاعلة واحدة. يؤكد التوزيع واسع النطاق على الحاجة إلى زيادة اليقظة بين اللاعبين وحاملي العملات المشفرة على حدٍ سواء.