پژوهشگران شرکت امنیتی Kaspersky از کشف یک کارزار گسترده بدافزاری خبر دادهاند که از طریق والپیپرهای متحرک نرمافزار محبوب Wallpaper Engine در پلتفرم Steam منتشر شده است. مهاجمان با سوءاستفاده از قابلیت اجرای فایلهای اجرایی در این برنامه، بدافزارهایی شامل ابزارهای سرقت اطلاعات، استخراج رمزارز و حتی باجافزار را روی سیستم قربانیان نصب کردهاند؛ حملاتی که در برخی موارد دهها هزار بار دانلود شدهاند.
سوءاستفاده از یک قابلیت قانونی برای انتشار بدافزار
Wallpaper Engine یکی از محبوبترین نرمافزارهای غیرگیمینگ استیم محسوب میشود که به کاربران اجازه میدهد از تصاویر و والپیپرهای پویا روی دسکتاپ استفاده کنند. اما یکی از قابلیتهای کمتر شناختهشده این نرمافزار، امکان استفاده از «Application Wallpaper» است؛ قابلیتی که در واقع میتواند یک برنامه اجرایی ویندوز را به عنوان پسزمینه دسکتاپ اجرا کند.
اما بنابر گزارش رسانه امنیت سایبری Securelist همین ویژگی به نقطه ورود مهاجمان تبدیل شده است. بر اساس گزارش کسپرسکی، عاملان این حملات طی ماههای اخیر دهها والپیپر آلوده را در استیم منتشر کردهاند که در ظاهر کاملاً عادی به نظر میرسیدند اما در پسزمینه کدهای مخرب را روی سیستم اجرا میکردند.
بدافزار والپیپر استیم چگونه فعال میشود؟
بررسیهای انجامشده نشان میدهد مهاجمان از دو روش اصلی برای پنهانسازی بدافزار استفاده کردهاند. در برخی نمونهها فایلهای اجرایی مخرب، کتابخانههای DLL یا اسکریپتها مستقیماً در کنار فایلهای اصلی والپیپر قرار داشتند. در روش دوم، بدافزار داخل آرشیوهای رمزگذاریشده مخفی میشد و رمز عبور نیز در نام فایل یا فایلهای تنظیمات برنامه قرار میگرفته تا فرآیند استخراج و اجرا بهصورت خودکار انجام شود.
در نتیجه، کاربر تنها با فعالکردن والپیپر آلوده، ناخواسته بدافزار را نیز روی سیستم خود اجرا میکرد.
سرقت حساب Steam و گسترش خودکار آلودگی
یکی از جالبترین بخشهای این حمله، نحوه گسترش آن است. کسپرسکی در یکی از نمونههای بررسیشده مشاهده نموده که والپیپر آلوده علاوه بر اجرای یک بازی ظاهراً عادی، در پسزمینه درب پشتی DarkKomet را روی سیستم نصب میکند.
پس از آن، یک کتابخانه دستکاریشده ویندوز به جستجوی فرآیند Steam پرداخته و اطلاعات نشست فعال کاربر، توکنهای احراز هویت و دادههای حساب را استخراج میکند. این اطلاعات سپس به سرور فرماندهی مهاجمان ارسال میشود.
به این ترتیب مهاجمان میتوانند کنترل حساب Steam قربانی را در اختیار گرفته و از همان حساب برای بارگذاری والپیپرهای آلوده جدید استفاده کنند. همین چرخه باعث شده حتی پس از حذف برخی فایلهای مخرب، کمپین بار دیگر از طریق حسابهای سرقتشده بازتولید شود.
تمرکز حملات روی کاربران چینی
بر اساس دادههای جمعآوریشده، حدود 89 درصد تلاشهای دانلود فایلهای آلوده در چین ثبت شده است. روسیه با 5.5 درصد در رتبه بعدی قرار دارد و کشورهای دیگری مانند آلمان، ویتنام، هند، سنگاپور، هنگکنگ و کانادا نیز در میان اهداف این حملات دیده میشوند.
کسپرسکی معتقد است این توزیع جغرافیایی با جامعه کاربران Wallpaper Engine همخوانی دارد؛ نرمافزاری که محبوبیت بسیار بالایی در میان کاربران چینی دارد.
از سرقت اطلاعات تا باجافزار
نکته مهم دیگر در خصوص این الگوی نفوذ آن است که فهرست بدافزارهای شناساییشده نشان میدهد کمپین مذکور به یک گروه خاص محدود نیست. نمونههای کشفشده شامل بدافزارهای سرقت اطلاعات Lumma و Vidar، درب پشتی DarkKomet، ابزار بارگذاری RenEngine، ماینرهای استخراج رمزارز و حتی باجافزار بودهاند.
به گفته کسپرسکی، احتمالاً چندین گروه مجرمان سایبری مختلف بهطور همزمان از همین روش سوءاستفاده کردهاند و به همین دلیل تنوع بدافزارهای مشاهدهشده بسیار بالا است.
ادامه زنجیره نفوذ بدافزارها به اکوسیستم Steam
کاربرانی که اخبار حوزه امنیت سایبری را با دقت بیشتری دنبال کردهاند میدانند که این نخستین بار نیست که بدافزارها از زیرساخت استیم برای دسترسی به کاربران استفاده میکنند. طی سالهای اخیر موارد متعددی از انتشار مادها، بازیها و محتوای آلوده در این پلتفرم گزارش شده است؛ از ماد آلوده بازی Slay the Spire در سال 2023 گرفته تا بازی Chemia و پروژه BlockBlasters که موجب سرقت داراییهای دیجیتال کاربران شدند.
ماجرای جدید Wallpaper Engine نشان میدهد حتی محتوایی که در ظاهر صرفاً یک والپیپر متحرک به نظر میرسد نیز میتواند به ابزاری برای نفوذ به سیستم، سرقت اطلاعات و تصاحب حسابهای کاربری تبدیل شود. از این رو کارشناسان امنیتی توصیه میکنند کاربران تنها از منابع معتبر استفاده کرده و پیش از نصب هرگونه محتوای شخص ثالث در Steam، نسبت به اعتبار سازنده و سابقه فایلها اطمینان حاصل کنند.
