Steam Workshop verteilt Malware über Wallpaper Engine

Zusammenfassung

Angreifer missbrauchen den Steam Workshop, die in Steam integrierte Plattform von Valve für Community-Inhalte, um Malware über Wallpaper Engine zu verbreiten. Das berichtet Kaspersky in einer aktuellen Analyse. Betroffen ist die Desktop-Anpassungsanwendung Wallpaper Engine, die über Steam verfügbar ist und laut Bericht fast eine Million Bewertungen hat. Die Angriffe nutzen eine Funktion für sogenannte Anwendungs-Wallpaper aus: Dabei handelt es sich um ausführbare Windows-Anwendungen, die Wallpaper Engine als Desktop-Hintergrund einbindet. Nach Einschätzung von Kaspersky steckt darin ein eingebautes Sicherheitsrisiko, das seit mindestens Ende 2025 ausgenutzt wird. Die Forscher entdeckten dutzende bösartige Wallpaper-Pakete im Steam Workshop, von denen jedes bereits tausendfach bis zehntausendfach heruntergeladen worden war. Je nach Schadcode kann der Missbrauch zur Übernahme von Steam-Konten, zur Installation einer Hintertür oder zum Start von Kryptomining-Prozessen führen.

Der Steam Workshop dient auf Valves Gaming-Plattform Steam als Austauschplatz für nutzergenerierte Inhalte. Dort laden Anwender unter anderem Mods, Karten, Skins, Spielstände, Werkzeuge und Wallpaper herunter. Nach Angaben von Kaspersky haben Angreifer diese Infrastruktur genutzt, um präparierte Wallpaper-Pakete für Wallpaper Engine bereitzustellen und Nutzer zur Installation zu verleiten.

Wallpaper Engine unterstützt vier Arten von Hintergründen: Videos, interaktive Szenen, Webseiten mit Audio- und Videowiedergabe sowie Anwendungen. Gerade diese Anwendungs-Wallpaper sind laut Kaspersky der kritische Punkt, weil es sich dabei um ausführbare Windows-Programme handeln kann, etwa Spiele, Desktop-Widgets oder Werkzeuge zur Systemüberwachung.

Die Forscher schreiben, dass die Schadsoftware entweder direkt in den Paketen enthalten war oder in passwortgeschützten Archiven steckte, deren Öffnung den Nutzern untergeschoben wurde. Nach der Installation des Wallpapers werde die Nutzlast automatisch ausgeführt.

Bei einem von Kaspersky untersuchten Beispiel gab sich das Wallpaper als Spiel mit dem Namen NTRaholic aus. Beim Start verhielt sich die Anwendung wie erwartet, offenbar um Misstrauen zu vermeiden. Im Hintergrund wurde jedoch eine Backdoor-Datei aus der Malware-Familie DarkKomet installiert.

Zusätzlich fanden die Forscher eine angepasste Version der Systembibliothek „AggregatorHost.dll“. Diese suchte auf dem kompromittierten Rechner nach Steam-Konten und sollte Zugangsdaten stehlen. Kaspersky beobachtete darüber hinaus weitere Fälle mit anderen Malware-Familien, darunter die Infostealer Lumma und Vidar, Kryptominer, Botnet-Loader, RanEngine und sogar Ransomware-Varianten. Das deute darauf hin, dass mehrere Tätergruppen Wallpaper Engine über den Steam Workshop missbraucht haben.

Laut Bericht nutzen die Angreifer diese Sicherheitslücke seit mindestens Ende 2025. Kaspersky spricht von dutzenden schädlichen Anwendungs-Wallpapern im Steam Workshop, die jeweils bereits tausende oder sogar zehntausende Downloads erreicht hatten.

Steam hat nach Angaben des Berichts alle von Kaspersky identifizierten schädlichen Wallpaper-Anwendungen erkannt und entfernt. Die Forscher warnen jedoch, dass Angreifer voraussichtlich neue Einreichungen nachschieben werden. Kaspersky empfiehlt Nutzern außerdem, aus Steam Workshop geladene Inhalte mit einer aktuellen Antivirenlösung zu prüfen und möglichst nur aus vertrauenswürdigen Quellen zu beziehen.

Steam Workshop verteilt Malware über Wallpaper Engine

Ähnliche Artikel

Neueste Artikel