サイバーセキュリティ企業Kaspersky(カスペルスキー)は16日、Steamワークショップと「Wallpaper Engine」を悪用したマルウェア配布について警告を発した。
Steamワークショップは、PCゲームのダウンロード販売プラットフォーム大手「Steam」に組み込まれた機能で、ユーザーは拡張コンテンツ、カスタムマップ、ゲームアイテム、壁紙などのユーザー生成コンテンツを簡単に検索、インストール、管理することができる。
カスペルスキーは、攻撃者がSteamワークショップにおいて、アニメーション壁紙(動く壁紙)の適用・作成・共有ができるデスクトップカスタマイズソフト「Wallpaper Engine」用の壁紙データに偽装したマルウェアを配布していたと指摘。これらの壁紙の多くは、女性アニメキャラクターをフィーチャーするものだった。
マルウェアが仕込まれた壁紙は数十枚発見されており、その多くは数千回から数万回ダウンロードされていたとしている。
カスペルスキーのサイバーセキュリティ専門家であるマキシム・スタロドゥボフ氏は次のように説明した。
カスペルスキーは、以下のことを推奨した。
カスペルスキーによると、今回の壁紙マルウェアの主なターゲットは中国とロシアのSteamユーザーで、シンガポール、香港、ドイツ、ベトナム、インド、カナダにも被害者がいた。マルウェアの目的は、ゲームアカウントの乗っ取りと、さらなるマルウェアの展開だ。
また、単一のグループではなく、複数の独立した攻撃者によって配布された可能性が高く、使用されたマルウェアの種類も一つではなかったとしている。マルウェアの例としては、LummaおよびVidarという情報窃盗マルウェアを挙げた。
攻撃者が用いた主な配布方法は2つあった。1つは、悪意のある実行可能ファイル、DLL、スクリプトが壁紙パッケージに直接内包されているケースだ。
もう1つは、ZIPなどパスワードで保護されたアーカイブ内にマルウェアを隠蔽し、壁紙のスクリプトが自動的にパスワードを使ってマルウェアを解凍・実行するものである。
カスペルスキーは昨年12月、海賊版ソフトウェアや改造ゲームソフト(MOD)などを装い、被害者の仮想通貨を盗み、そのデバイスに不正な仮想通貨マイニング機能をインストールするマルウェアも報告していた。
