卡巴斯基报告称,上传到 Steam 创意工坊的恶意 Wallpaper Engine 软件包已被下载数千次,窃取 Steam 凭证、劫持活动会话,并传递额外的有效负载,例如 Lumma 和 Vidar 信息窃取者。
分发方式和负载
卡巴斯基的分析表明,攻击者利用在 Windows 计算机上运行可执行代码的基于应用程序的壁纸功能,将动画壁纸(其中许多以女性动漫艺术作品为特色)伪装成合法内容。恶意软件包不仅捕获了登录详细信息,还安装了 RenEngine 加载程序,该加载程序随后获取了 Lumma 和 Vidar 信息窃取程序。这些恶意软件系列以浏览器数据和加密货币钱包信息为目标,对加密货币投资者构成直接威胁。
地理范围和威胁主体
该活动主要影响了中国和俄罗斯的用户,新加坡、香港、德国、越南、印度和加拿大也有感染记录。卡巴斯基发现此次行动背后有多个威胁组织,这表明这是一次协调一致的行动,而不是单一行动者的行动。广泛的分布凸显了游戏玩家和加密货币持有者需要提高警惕。