Kaspersky informó que los paquetes maliciosos de Wallpaper Engine subidos a Steam Workshop se han descargado miles de veces, robando credenciales de Steam, secuestrando sesiones activas y entregando cargas útiles adicionales como los ladrones de información Lumma y Vidar.
Método de distribución y cargas útiles
El análisis de Kaspersky mostró que los atacantes disfrazaron fondos de pantalla animados (muchos de ellos con ilustraciones de anime femeninas) como contenido legítimo, explotando la función de fondo de pantalla basada en aplicaciones que ejecuta código ejecutable en máquinas con Windows. Los paquetes maliciosos no solo capturaron los datos de inicio de sesión, sino que también instalaron el cargador RenEngine, que posteriormente obtuvo los ladrones de información Lumma y Vidar. Estas familias de malware tienen como objetivo los datos del navegador y la información de la billetera de criptomonedas, lo que representa una amenaza directa para los inversores en criptomonedas.
Alcance geográfico y actores de la amenaza
La campaña afectó principalmente a usuarios de China y Rusia, mientras que también se registraron infecciones en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá. Kaspersky identificó múltiples grupos de amenazas detrás de la operación, lo que indica un esfuerzo coordinado en lugar de un solo actor. La distribución generalizada subraya la necesidad de una mayor vigilancia tanto entre los jugadores como entre los poseedores de criptomonedas.