Kaspersky berichtete, dass bösartige Wallpaper Engine-Pakete, die auf Steam Workshop hochgeladen wurden, tausende Male heruntergeladen wurden, Steam-Anmeldeinformationen stahlen, aktive Sitzungen kaperten und zusätzliche Payloads wie die Lumma- und Vidar-Infostealer lieferten.
Verteilungsmethode und Nutzlasten
Die Analyse von Kaspersky ergab, dass Angreifer animierte Hintergrundbilder – viele davon mit weiblichen Anime-Grafiken – als legitime Inhalte tarnten und dabei die anwendungsbasierte Hintergrundfunktion ausnutzten, die ausführbaren Code auf Windows-Rechnern ausführt. Die Schadpakete erfassten nicht nur Anmeldedaten, sondern installierten auch den RenEngine-Loader, der anschließend die Infostealer Lumma und Vidar abrufte. Diese Malware-Familien zielen auf Browserdaten und Kryptowährungs-Wallet-Informationen ab und stellen eine direkte Bedrohung für Krypto-Investoren dar.
Geografische Reichweite und Bedrohungsakteure
Die Kampagne betraf vor allem Nutzer in China und Russland, aber auch in Singapur, Hongkong, Deutschland, Vietnam, Indien und Kanada wurden Infektionen registriert. Kaspersky identifizierte mehrere Bedrohungsgruppen hinter der Operation, was auf eine koordinierte Aktion und nicht auf einen einzelnen Akteur hindeutet. Die weite Verbreitung unterstreicht die Notwendigkeit erhöhter Wachsamkeit sowohl bei Spielern als auch bei Krypto-Inhabern.