Darbalaukio fonuose skirtose „Wallpaper Engine“ pastebėtas kenkėjiškas kodas

„Kaspersky“ tyrėjai teigia, kad įsilaužėliai pasinaudojo „Steam Workshop“ ir „Wallpaper Engine“ platformomis, siekdami platinti kenkėjišką programinę įrangą per užkrėstus darbalaukio fonus.

Šioje kampanijoje buvo panaudoti keli fonų rinkiniai, įkelti į „Steam Workshop“. Pasak „Kaspersky“, kai kurie iš jų iki pašalinimo buvo atsisiųsti tūkstančius ar dešimtis tūkstančių kartų. Bendrovė teigia, kad pagrindiniai taikiniai buvo „Steam“ naudotojai Kinijoje ir Rusijoje, o kitos aukos buvo aptiktos Singapūre, Honkonge, Vokietijoje, Vietname, Indijoje ir Kanadoje.

Pati „Wallpaper Engine“ programa nėra kenkėjiška. Problema susijusi su „taikomųjų programų ekrano užsklandomis“ – vienu iš palaikomų ekrano užsklandų formatų. Šios ekrano užsklandos gali paleisti vykdomąsias „Windows“ programas kaip darbalaukio foną, o tai leido užpuolėjams paslėpti kenkėjišką kodą turinyje, kuris atrodė kaip įprasti naudotojų sukurti „Steam Workshop“ elementai.

„Kaspersky“ nustatė du kenkėjiškų programų platinimo būdus. Kai kuriuose ekrano užsklandose kenkėjiški EXE failai, DLL failai ar skriptai buvo įtraukti tiesiai į paketą. Kituose atvejuose kenkėjiškos programos buvo paslėptos slaptažodžiu apsaugotuose archyvuose, o slaptažodžiai buvo saugomi failų pavadinimuose arba konfigūracijos failuose. Keliais atvejais kenkėjiškas kodas pasileisdavo automatiškai, kai ekrano užsklanda buvo įdiegta ir pritaikyta.

„Kaspersky“ teigia, kad „Steam“ pašalino nustatytus kenkėjiškas ekrano užsklandas ir nuorodas dar prieš paskelbiant ataskaitą. Vėliau bendrovė atnaujino ataskaitą, nurodydama, kad kenkėjiškos ekrano užsklandos buvo pasiekiamos jau nuo 2025 m. rugpjūčio. Naudotojams, atsisiuntusiems įtartinas programų ekrano užsklandas, patariama jas pašalinti, nuskaityti savo sistemą ir peržiūrėti naujausią „Steam“ paskyros veiklą.