Falsos fondos animados en Steam roban cuentas y propagan malware

Fuentes: Malicious Wallpaper Engine uploads on Steam Workshop hijack accounts and spread malware

Investigadores de Kaspersky detectaron una oleada de fondos de pantalla maliciosos distribuidos a través del Steam Workshop desde finales de 2025. Los atacantes explotan la función de "application wallpapers" de Wallpaper Engine, una popular aplicación de fondos animados con unos 100.000 usuarios diarios en Steam, para empaquetar ejecutables infectados que roban cuentas de Steam, instalan puertas traseras, mineros de criptomonedas o ransomware. Cada paquete malicioso había sido descargado miles o decenas de miles de veces antes de su retirada.

El ataque más documentado usa el juego NTRaholic como cebo: al ejecutarse, despliega Synaptics.exe, un backdoor de la familia DarkKomet, y una librería modificada llamada AggregatorHost.dll que rastrea la sesión activa de Steam y envía las credenciales al servidor hxxp://120.48.156.17/ey.php. Una vez dentro de la cuenta, los ciberdelincuentes la usan para subir más fondos infectados.

Kaspersky atribuye la campaña a múltiples grupos independientes que reutilizan malware conocido como los infostealers Lumma y Vidar o el loader RenEngine. El 89 % de los intentos de descarga maliciosa detectados proceden de China, seguida de Rusia (5,5 %), Singapur (1,4 %), Hong Kong (0,9 %), Alemania (0,9 %), Vietnam (0,9 %), India (0,5 %) y Canadá (0,5 %). Steam ya eliminó los fondos identificados, pero los investigadores recomiendan analizar cualquier wallpaper de tipo aplicación con un antivirus antes de aplicarlo.