){kind=link}
Pesquisadores da Kaspersky identificaram uma campanha ativa de distribuição de malware usando o Steam Workshop, plataforma da Valve que permite usuários compartilharem conteúdo criado por eles mesmos. Os pacotes infectados acumularam milhares de downloads antes de serem detectados.
Os principais alvos foram usuários na China e na Rússia, mas vítimas também foram encontradas em Singapura, Hong Kong, Alemanha, Vietnã, Índia e Canadá. O objetivo central dos ataques era roubar contas de jogos e instalar programas maliciosos nos computadores das vítimas.
smart_display
Nossos vídeos em destaque
O que é o Steam Workshop
O Steam Workshop é uma funcionalidade integrada à plataforma Steam que permite baixar e instalar conteúdo criado pela comunidade, como mods, mapas personalizados e papéis de parede animados. Um dos aplicativos mais populares que usa esse sistema é o Wallpaper Engine, com o qual é possível criar e compartilhar planos de fundo animados para o desktop.
O Wallpaper Engine suporta diferentes formatos de papel de parede, incluindo vídeos, páginas web, cenas interativas e aplicativos executáveis. É justamente esse último tipo que abriu a porta para os ataques. Basicamente, um arquivo executável pode rodar diretamente no Windows quando o papel de parede é carregado, o que permite que criminosos escondam programas maliciosos dentro de um conteúdo aparentemente inofensivo.
Como os ataques funcionavam
A Kaspersky identificou dezenas de pacotes de papel de parede infectados disponíveis no Steam Workshop, muitos com milhares e até dezenas de milhares de downloads.
Os atacantes usaram dois métodos principais para distribuir o malware. Em alguns casos, os arquivos maliciosos, como executáveis, bibliotecas DLL e scripts, vinham empacotados diretamente com o papel de parede. Em outros, o malware ficava escondido dentro de arquivos compactados protegidos por senha, com a própria senha embutida no nome do arquivo ou em um arquivo de configuração incluído no pacote.
Uma vez que o papel de parede era instalado, os arquivos maliciosos eram executados automaticamente, sem que o usuário precisasse fazer mais nada.
O que acontecia nos bastidores
Um dos exemplos mais ilustrativos foi descoberto em dezembro de 2025. O papel de parede em questão parecia funcionar normalmente, ao ser instalado, abria um jogo embutido no desktop, sem nenhum sinal visível de problema.
Enquanto isso, em segundo plano, o sistema era comprometido. O pacote instalava o DarkKomet, um backdoor que permite acesso remoto ao computador da vítima. Além disso, uma biblioteca modificada era instalada para mirar especificamente em usuários do Steam, capturando informações de conta e sequestrando sessões ativas na plataforma.
)
Mais de um grupo e mais de um malware
A Kaspersky concluiu que os ataques foram conduzidos por múltiplos agentes independentes, e não por um único grupo organizado. Isso porque diferentes famílias de malware foram usadas em diferentes pacotes infectados.
Entre os programas maliciosos identificados estavam o Lumma e o Vidar, ambos infostealers, ou seja, programas projetados para roubar senhas, cookies e dados de navegação. Também foi detectado o RenEngine, um loader usado para instalar outros malwares no sistema comprometido.
Por que isso preocupa?
Segundo Maxim Starodubov, especialista em cibersegurança da Kaspersky, o ponto central desse tipo de ataque é o abuso da confiança que os usuários depositam em plataformas legítimas. O mecanismo de entrega permite que criminosos alcancem um grande número de vítimas por meio de conteúdo que parece completamente inofensivo.
A Kaspersky recomenda cautela ao baixar qualquer aplicativo, mesmo em fontes confiáveis, e que usuários verifiquem a reputação dos criadores antes de instalar conteúdo gerado pela comunidade.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.