Kaspersky a signalé que des packages Wallpaper Engine malveillants téléchargés sur Steam Workshop ont été téléchargés des milliers de fois, volant les informations d'identification Steam, détournant des sessions actives et fournissant des charges utiles supplémentaires telles que les voleurs d'informations Lumma et Vidar.
Méthode de distribution et charges utiles
L'analyse de Kaspersky a montré que les attaquants ont déguisé des fonds d'écran animés, dont beaucoup présentent des illustrations féminines, en contenu légitime, en exploitant la fonctionnalité de fond d'écran basée sur l'application qui exécute du code exécutable sur les machines Windows. Les packages malveillants ont non seulement capturé les informations de connexion, mais ont également installé le chargeur RenEngine, qui a ensuite récupéré les infostealers Lumma et Vidar. Ces familles de logiciels malveillants ciblent les données du navigateur et les informations du portefeuille de crypto-monnaie, ce qui constitue une menace directe pour les investisseurs en crypto-monnaie.
Portée géographique et acteurs de la menace
La campagne a principalement touché des utilisateurs en Chine et en Russie, tandis que des infections ont également été enregistrées à Singapour, à Hong Kong, en Allemagne, au Vietnam, en Inde et au Canada. Kaspersky a identifié plusieurs groupes menaçants derrière l'opération, ce qui indique un effort coordonné plutôt qu'un seul acteur. La distribution généralisée souligne la nécessité d'une vigilance accrue de la part des joueurs et des détenteurs de crypto.