脅威アクターが、Valveのゲーム関連コンテンツ配布プラットフォームであるSteam Workshopを悪用し、壁紙パッケージに隠したさまざまなマルウェアを拡散させています。
感染した壁紙は、Steamアカウントの乗っ取り、バックドアによるシステム侵害、または暗号通貨マイニングプロセスの実行といった被害につながる可能性があります。
Steam Workshopは、ValveのSteamゲームサービスに組み込まれたコンテンツ共有プラットフォームです。ユーザーはゲームやアプリケーション向けのコミュニティ制作コンテンツをアップロード・ダウンロードできます。
コンテンツには、Mod、マップ、スキン、セーブファイル、ツール、そして壁紙などのユーザー生成コンテンツが含まれます。
壁紙に潜むマルウェア
カスペルスキーの研究者が本日公開したレポートによると、今回の攻撃はSteamで提供されているデスクトップカスタマイズアプリ「Wallpaper Engine」を悪用しています。同アプリは約100万件のレビューを獲得しています。
Wallpaper Engineは、動画、インタラクティブシーン、音声・映像を再生できるWebページ、そしてアプリケーションという4種類の壁紙タイプに対応しています。アプリケーション壁紙とは、Wallpaper Engineがデスクトップ背景として設定するソフトウェアのアクティブウィンドウのことです。
アプリケーション壁紙は、ゲーム、デスクトップウィジェット、システム監視ツールなどを含む実行可能なWindowsアプリケーションです。カスペルスキーは警告を発しており、この機能がセキュリティリスクを内包しており、Steamユーザーへのマルウェア配布に悪用されていると指摘しています。
研究者によると、攻撃者は少なくとも2025年末からこのセキュリティ上の欠陥を悪用し、悪意ある壁紙ファイルをSteam Workshopにアップロードして、ユーザーをWallpaper Engine経由でインストールするよう誘導してきました。
「Steam Workshop上で数十件の悪意ある壁紙アプリを発見しました。それぞれがすでに数千件、あるいは数万件ものダウンロードを記録していました」とカスペルスキーは述べています。
感染した壁紙を分析した結果、マルウェアはパッケージに直接同梱されているか、ユーザーが開くよう誘導されるパスワード保護されたアーカイブ内に隠されていることが判明しました。
研究者によると、ペイロードはユーザーが壁紙をインストールした瞬間に自動的に実行されます。
カスペルスキーは「NTRaholic」というゲームを装った壁紙の一つをテストしました。実行時には疑惑を避けるためゲームが正常に起動しましたが、バックグラウンドではDarkKometマルウェアファミリーのバックドアファイルがインストールされていました。
「AggregatorHost.dll」というシステムライブラリのカスタム版もインストールされており、コンピューター上のSteamアカウントを検索してアカウント認証情報を窃取するよう設計されていました。
研究者はほかにも、LummaやVidarといった情報窃取マルウェア(インフォスティーラー)、暗号通貨マイナー、ボットネットローダー、RanEngine、さらにはランサムウェアを含む複数のマルウェアファミリーが関与するケースを発見しており、Wallpaper Engineが複数の脅威アクターによって悪用されていることが明らかになっています。
Steamはカスペルスキーが特定した悪意ある壁紙アプリをすべて特定・削除しましたが、研究者たちは脅威アクターが新たな壁紙を投稿してくる可能性が高いと警告しています。
カスペルスキーは、信頼できるソースからコンテンツをダウンロードすることに加え、Steam Workshopから取得したものはすべて最新のウイルス対策製品でスキャンするよう推奨しています。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが記録できているのは成功した攻撃の54%にとどまり、アラートが発動するのはわずか14%です。残りの攻撃は気づかれないまま環境内を侵害し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がどのようにSIEMやEDRのルールをテストし、脅威の検知漏れを防ぐかを解説しています。
