Siber suçlular, son aylarda Steam platformuna animasyonlu masaüstü duvar kağıtları aracılığıyla zararlı yazılımlar sızdırarak, bunları yükleyen kurbanların hesaplarını ele geçiriyor ve bu hesapları kullanarak daha fazla virüslü dosya yüklüyor. Bu durum, güvenlik araştırmacılarının yakın zamanda yayınladığı bir rapora göre ortaya çıktı. Rapor, zararlı yazılım kampanyasının geçen yılın sonlarından beri devam ettiğini ve özellikle Çin'deki oyuncuları hedef aldığını belirtiyor. Kötü amaçlı yazılımlar, kimlik bilgisi hırsızlığından kripto para madenciliğine ve fidye yazılımlarına kadar geniş bir yelpazede yer alıyor. Güvenlik firması, kaldırılmadan önce on binlerce kez indirilen düzinelerce zararlı paket tespit etti.
Sorunun kaynağı, Steam'in en popüler oyun dışı uygulamalarından biri olan ve canlı duvar kağıtları sunan 4.99 dolarlık Wallpaper Engine adlı araç. Uygulama, ortalama bir milyon incelemeye sahip ve her an 93.000 ila 114.000 arasında eş zamanlı kullanıcıya sahip. Uygulamanın desteklediği dört farklı duvar kağıdı türünden biri olan "uygulama duvar kağıdı", masaüstü arka planı olarak çalışan bağımsız bir Windows programı. Bu durum, üçüncü taraf kodların kullanıcıların makinelerinde yürütülmesi için bir yol açıyor ve tam da saldırganların istismar ettiği nokta bu oldu.
Araştırmacılar, zararlı yazılımların dağıtılması için iki yöntem gözlemledi. Bazı paketlerde, zararlı .EXE dosyaları, .DLL'ler veya komut dosyaları doğrudan yasal duvar kağıdı dosyalarının yanında bulunuyordu. Diğer durumlarda ise zararlı yük, parola korumalı bir arşivin içine gizlenmişti. Şifre, ya arşivin adına ya da bir JSON yapılandırma dosyasına gömülmüş, bu da bir komut dosyasının arşivi otomatik olarak açmasına izin veriyordu. Duvar kağıdını uygulamak, zararlı yükü tetikliyordu.
Geçtiğimiz Aralık ayında incelenen bir örnekte, araştırmacılar masaüstü oyun çalışırken arka planda gizlice Synaptics.exe adında bir DarkKomet arka kapısı ve üzerinde oynanmış bir sistem kütüphanesi olan AggregatorHost.dll'yi başarıyla yüklemeyi başardılar. Bu kütüphane, çalışan Steam uygulamasını tespit ediyor, hesap kimlik bilgilerini arıyor, aktif oturumu ele geçiriyor ve verileri bir komuta-kontrol sunucusuna gönderiyor. Aktif bir oturumun kontrolü, saldırganların mağdurun adına yeni zararlı duvar kağıtları yayınlamasına olanak tanıyor. Bu da kampanyanın, tespit edilip kaldırılmasının ardından sürekli yeniden ortaya çıkmasının nedeni olarak gösteriliyor.
Tespit edilen zararlı indirme denemelerinin %89'unun Çin'de gerçekleştiği, ardından %5.5 ile Rusya'nın geldiği ve Singapur, Hong Kong, Almanya, Vietnam, Hindistan ve Kanada gibi ülkelerde de küçük oranlarda görüldüğü belirtildi. Bu yoğunluk, Wallpaper Engine'in kullanıcı tabanının büyük ölçüde Çin'de yoğunlaşmasıyla uyumlu. Yüklenen zararlı yazılımlar arasında DarkKomet arka kapısının yanı sıra Lumma ve Vidar bilgi hırsızları, RenEngine yükleyicisi, madenciler ve fidye yazılımları da bulunuyor. Araştırmacılar, bunun tek bir tehdit aktörü veya grubundan ziyade, birden fazla bağımsız grubun aynı tekniği kullanmasından kaynaklandığını düşünüyor.
Bu olay, son birkaç yıldır Steam platformu üzerinden oyunculara yönelik zararlı yazılım saldırılarının artışını takip ediyor. 2023'ün Noel gününde, bir Slay the Spire modunun zararlı yazılım içerdiği ve Atölye aracılığıyla dağıtıldığı tespit edildi. Geçtiğimiz yılın Temmuz ayında, Chemiac Erkenc Erişim oyununun içinde üç farklı türde zararlı yazılım bulunduğu ve Kripto para madenciliği, bilgi hırsızlığı ve gelecekte daha fazla zararlı yazılım yükleyebilecek bir arka kapı içerdiği bildirildi. Eylül ayında ise BlockBlasters adlı bir oyunun, yüzlerce oyuncunun yaklaşık 150.000 dolarını çaldığı ortaya çıktı. Mart ayına gelindiğinde ise ABD Federal Soruşturma Bürosu (FBI), 2024-2026 yılları arasına tarihlenen birden fazla virüslü oyunla ilgili soruşturma kapsamında, etkilenen Steam kullanıcılarını arıyordu.
