Касперский сообщил, что вредоносные пакеты Wallpaper Engine, загруженные в Steam Workshop, были загружены тысячи раз, похищая учетные данные Steam, перехватывая активные сеансы и доставляя дополнительные полезные нагрузки, такие как инфокрады Lumma и Vidar.
Метод распространения и полезные данные
Анализ Касперского показал, что злоумышленники замаскировали анимированные обои (многие из которых изображали женские аниме-иллюстрации) под законный контент, используя функцию обоев приложения, которая запускает исполняемый код на компьютерах с Windows. Вредоносные пакеты не только захватили данные для входа в систему, но и установили загрузчик RenEngine, который впоследствии загрузил инфокрады Lumma и Vidar. Эти семейства вредоносных программ нацелены на данные браузера и информацию о криптовалютном кошельке, создавая прямую угрозу для криптоинвесторов.
Географический охват и субъекты угроз
Кампания в первую очередь затронула пользователей в Китае и России, заражение также было зафиксировано в Сингапуре, Гонконге, Германии, Вьетнаме, Индии и Канаде. Касперский выявил несколько групп угроз, стоящих за операцией, что указывает на скоординированные усилия, а не на одного участника. Широкое распространение подчеркивает необходимость повышенной бдительности как среди геймеров, так и среди владельцев криптовалют.