Os investigadores de segurança da Kaspersky identificaram uma campanha maliciosa engenhosa dirigida a jogadores de PC. O alvo é o Wallpaper Engine, uma das aplicações não relacionadas com videojogos mais populares do Steam, que permite à comunidade criar e partilhar fundos de ecrã interativos.
Muitos destes fundos funcionam como pequenos programas independentes do Windows, e foi precisamente essa funcionalidade que os hackers exploraram para esconder código malicioso.
Como o malware se instala sem que percebas
O processo é simples e eficaz. Ao descarregares um destes fundos da Steam Workshop, acabas por instalar ficheiros executáveis comprometidos ou scripts perigosos no teu sistema.
Os investigadores notaram que o malware estava frequentemente escondido em ficheiros protegidos por palavra-passe, programados para se executar automaticamente assim que o fundo de ecrã é aplicado no ambiente de trabalho.
Num dos casos analisados, os especialistas testaram um fundo de ecrã que incluía um pequeno jogo chamado NTRaholic. O título funcionava sem qualquer problema aparente à vista do utilizador, mas em segundo plano instalava uma backdoor pertencente à conhecida família de malware DarkKomet, dando aos hackers acesso remoto ao computador.
O ciclo que se repete a si mesmo
Assim que o código entra em acção, o objetivo é roubar as credenciais de acesso dos jogadores, sequestrar sessões ativas na Steam e enviar os dados recolhidos para servidores controlados pelos piratas informáticos.
A parte mais preocupante deste esquema é a propagação: as próprias contas comprometidas são depois usadas para carregar ainda mais fundos de ecrã infetados para a Steam Workshop, criando um ciclo que se alimenta a si próprio sem precisar de novos hackers.
Não é a primeira vez que o Steam é alvo deste tipo de ataque. Em 2023, hackers conseguiram acesso a cerca de 100 contas de programadores e usaram-nas para distribuir malware através de atualizações de jogos legítimos, levando a Valve a exigir confirmação por SMS antes de qualquer publicação de novas versões.
Quem foi mais afetado
A campanha atingiu sobretudo jogadores na China, que representam cerca de 89% das transferências comprometidas identificadas pela Kaspersky. Ainda assim, utilizadores em países como Alemanha, Canadá, Rússia e Índia também foram afetados. Algumas das criações maliciosas chegaram a registar dezenas de milhares de transferências antes de serem detetadas e removidas.
A Valve já eliminou todos os fundos de ecrã identificados como perigosos da sua loja. Mas como a Steam Workshop continua aberto a novas submissões da comunidade, o risco de novos casos semelhantes mantém-se.
Como te proteges
A recomendação dos especialistas é manter o software antivírus sempre atualizado e fazer verificações regulares ao sistema, especialmente se costumas descarregar conteúdos criados por terceiros que incluam ficheiros executáveis.
Este tipo de ameaça não se limita há Steam: malware disfarçado de ferramentas populares de IA, tem sido usado para distribuir ransomware no Windows, seguindo exactamente a mesma lógica de disfarçar código malicioso dentro de algo aparentemente inofensivo.
Antes de descarregares qualquer conteúdo gerado pela comunidade, seja um fundo de ecrã, um mod ou uma ferramenta de terceiros, vale sempre a pena verificar as avaliações, o número de transferências e a reputação do criador.
