Des chercheurs de Kaspersky ont découvert une campagne de diffusion de logiciels malveillants en cours, utilisant Steam Workshop et Wallpaper Engine - une application populaire sur Steam qui permet aux utilisateurs de créer et de partager des fonds d'écran animés pour les ordinateurs.
L'équipe de recherche a identifié de nombreux paquets de fonds d'écran infectés par des logiciels malveillants avec des milliers de téléchargements. L'objectif principal de cette campagne est les utilisateurs de Steam en Chine et en Russie, ainsi que les victimes à Singapour, Hong Kong (Chine), Allemagne, Vietnam, Inde et Canada. L'objectif de l'agresseur est de voler des comptes de jeux et de déployer d'autres types de logiciels malveillants sur les appareils des victimes.
Steam Workshop est une fonctionnalité intégrée à la plateforme Steam, permettant aux utilisateurs de rechercher, d'installer et de gérer facilement le contenu créé par la communauté, tel que les mods, les cartes personnalisées, les objets du jeu et les fonds d'écran de l'appareil. Pendant ce temps, l'application Wallpaper Engine prend en charge différents formats de fonds d'écran, notamment les vidéos, les scènes interactives, les sites web et les applications.
La fonctionnalité de support de fonds d'écran sous forme d'application permet aux programmes d'être exécutés directement sur l'ordinateur Windows de l'utilisateur. Cela crée involontairement une faille permettant aux attaquants de diffuser des logiciels malveillants sous le couvert de contenus factices légaux. Kaspersky a découvert des dizaines de paquets de fonds d'écran infectés par des logiciels malveillants publiés sur Steam Workshop. De nombreux de ces paquets ont enregistré des milliers, voire des dizaines de milliers de téléchargements.
Les cibles d'attaques utilisent principalement deux méthodes principales de diffusion de logiciels malveillants. La première consiste à insérer directement des fichiers exécutables malveillants, des bibliothèques DLL et des scripts dans le paquet de fond d'écran. Dans d'autres cas, le logiciel malveillant est caché dans un fichier compressé protégé par un mot de passe, dans lequel le mot de passe est intégré au nom du fichier ou au fichier de configuration. Après l'installation du fond d'écran, le logiciel malveillant sera automatiquement activé et exécuté.
Les attaques sont très probablement menées par de nombreux groupes ou individus différents au lieu d'un seul groupe, et ne sont pas limitées à une famille spécifique de logiciels malveillants. Dans de nombreux cas, Kaspersky a détecté des fonds d'écran malveillants diffusant des lignes de logiciels malveillants qui volent des informations telles que Lumma et Vidar, ainsi que le téléchargeur de logiciels malveillants RenEngine. Les solutions de sécurité de Kaspersky sont désormais capables de détecter et d'empêcher tous les types de logiciels malveillants liés à cette campagne.
M. Maxim Starodubov, expert en cybersécurité chez Kaspersky, a déclaré: "Même les plateformes fiables peuvent être exploitées pour diffuser des logiciels malveillants. Ces attaques sont basées sur la confiance des utilisateurs dans le contenu stocké sur des écosystèmes légaux. Bien que la plupart des flux de logiciels malveillants utilisés soient connus depuis longtemps, ce mécanisme de diffusion permet toujours aux pirates d'accéder à un grand nombre de victimes potentielles à travers des contenus apparemment inoffensifs".
Pour protéger les utilisateurs, les experts de Kaspersky ont donné les conseils suivants:
Soyez prudent lorsque vous téléchargez n'importe quelle application, même à partir de sources considérées comme fiables.
Vérifiez la crédibilité et l'authenticité du développeur ou du créateur de contenu avant d'installer tout contenu partagé par la communauté.
Utiliser des solutions de sécurité réputées pour détecter et prévenir les menaces.
