DeafNews
// 1 CRITICAL · 2 CVE · 2 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Malware

Malware su Steam Workshop: wallpaper rubano account

Published: Updated: By DeafSuite team 7 min read Malware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Decine di wallpaper malevoli su Steam Workshop hanno totalizzato migliaia di download. Kaspersky: backdoor DarkKomet, furto credenziali e payload multipli.

Da fine 2025, malware si è diffuso attraverso il Steam Workshop sfruttando Wallpaper Engine, software con circa 100.000 utenti attivi giornalieri. L'analisi di Kaspersky, pubblicata a giugno 2026, documenta decine di "application wallpapers" malevoli: ogni campione ha totalizzato migliaia o decine di migliaia di download. Il meccanismo non sfrutta vulnerabilità zero-day, ma abusa la natura eseguibile dei wallpaper per installare backdoor, rubare credenziali Steam in tempo reale e caricare payload aggiuntivi.

La posta in gioco è duplice. Per i gamer, l'account Steam è un bene digitale con valore reale: inventari di oggetti, wallet, cronache di acquisti. Per le aziende, la presenza di piattaforme gaming su dispositivi aziendali espone una superficie di attacco spesso non monitorata. Il vettore "sfondo innocuo" abbassa la guardia delle vittime, sfruttando un'asimmetria cognitiva: l'utente umano percepisce wallpaper come passivo, mentre le sandbox automatiche vengono neutralizzate da una tecnica di occultamento sorprendentemente semplice.

Punti chiave
  • Decine di wallpaper malevoli scoperti su Steam Workshop, ciascuno con migliaia o decine di migliaia di download
  • Wallpaper Engine "application wallpapers" sono programmi Windows completi eseguiti come sfondo desktop
  • Due metodi di distribuzione: archivio aperto con eseguibile malevolo, o archivio protetto da password con password nascosta in nome file o JSON config
  • Payload documentati: backdoor DarkKomet (Synaptics.exe), hijacking credenziali Steam via AggregatorHost.dll, crypto miner, ransomware

Come funziona l'infezione: dai Workshop ai payload multipli

Gli attaccanti impacchettano malware in archivi condivisi su Steam Workshop come wallpaper per Wallpaper Engine. L'analisi di Kaspersky identifica due metodi di distribuzione. Il primo: un archivio contenente l'eseguibile wallpaper insieme a file malevoli. Il secondo: un archivio protetto da password, dove la password è "nascosta in vista" — nel nome dell'archivio stesso o in un file JSON di configurazione.

Questa tecnica di occultamento è progettata per eludere l'analisi automatica. Le sandbox e i motori di scansione che processano il file non trovano eseguibile in chiaro; l'utente invece, seguendo le istruzioni visive, inserisce la password e attiva il payload. È un esempio di "sicurezza per oscurità" rovesciata: l'oscurità è apparente, visibile a chi legge, ma invisibile al codice.

Una volta eseguito, il malware installa una backdoor identificata come Synaptics.exe, appartenente alla famiglia DarkKomet. Il componente sostituisce una libreria di sistema denominata AggregatorHost.dll: la versione modificata intercetta la sessione Steam attiva dell'utente e ne estrae le credenziali. La persistenza è garantita tramite un job automatico di sistema, con esecuzione schedulata a intervalli regolari.

Il paradosso della password in chiaro: quando la sandbox perde e l'utente vince

L'angolo più insolito di questa campagna è la calibrazione degli attaccanti sul divario tra analisi automatica e comportamento umano. La password in chiaro nel nome file o nel JSON config non è un errore: è un filtro. Le sandbox non inferiscono password da nomi file; l'utente sì. Gli attaccanti scommettono che la vittima, motivata a installare uno sfondo gratuito o appariscente, compirà l'azione di completamento che la macchina non compie.

Questa asimmetria è rilevante per le piattaforme di user-generated content. Steam Workshop permette la condivisione di contenuti eseguibili con moderazione limitata o ritardata; il trust è implicito, ereditato dalla reputazione della piattaforma madre. La tecnica documentata da Kaspersky sfrutta esattamente questo transfer di fiducia: l'utente scarica da Steam, quindi il contenuto è "sicuro".

I target e la diffusione geografica

I target primari della campagna sono gamer in Cina e Russia, secondo l'analisi di Kaspersky. La scelta geografica può riflettere preferenze linguistiche negli annunci dei Workshop, disponibilità di contenuti localizzati, o semplicemente la distribuzione storica di Wallpaper Engine. Il brief non documenta motivazioni politiche o economico-strategiche: non emergono sovrapposizioni infrastrutturali che colleghino gli operatori a gruppi APT noti allo stato attuale.

Il numero esatto di vittime non è quantificato oltre i download aggregati per wallpaper. "Migliaia o decine di migliaia" per ciascun campione non implica che tutti i download si siano tradotti in infezioni: alcuni utenti potrebbero aver rimosso il contenuto prima dell'esecuzione, altri potrebbero avere protezioni endpoint che hanno bloccato il payload. La fonte non fornisce tassi di conversione download-to-infection.

"Since late 2025, malware has been spreading rapidly through the Steam Workshop" — Kaspersky Securelist

Cosa fare adesso

Per gli utenti di Wallpaper Engine, tre azioni specifiche riducono l'esposizione documentata da Kaspersky. Prima: verificare la provenienza di ogni application wallpaper prima del download, preferendo contenuti di autori con storia pubblica e recensioni consolidate. Seconda: esaminare i file scaricati — archivi con password nel nome o configurazioni JSON che richiedono input manuale sono indicatori di rischio direttamente mappati alla tecnica di occultamento identificata. Terza: monitorare i processi attivi per istanze di Synaptics.exe, nome file associato alla backdoor DarkKomet rilevata nei campioni analizzati.

Per gli amministratori di endpoint, la campagna evidenzia un gap di visibilità: le sandbox automatiche non estraggono password da metadati di archivi. L'integrazione di regole euristiche su nomi file e strutture JSON config, combinata con il blocco di eseguibili generati da wallpaper engine in percorsi non standard, riduce la superficie di attacco specifica di questo vettore.

Per Valve e il team di Wallpaper Engine, il dossier Kaspersky solleva una questione di governance del Workshop: l'assenza di CVE o patch applicabili rende la moderazione pre-pubblicazione l'unico filtro efficace. I ~100.000 utenti attivi giornalieri generano un volume di contenuti che le revisioni reattive, post-segnalazione, lasciano esposto per intervalli misurabili in giorni o settimane — sufficienti per migliaia di download per campione.

La lezione della superficie espansa

La campagna documentata da Kaspersky illustra un principio più ampio: la convergenza tra contenuto "creativo" e codice eseguibile ha creato una categoria di minaccia che le difese tradizionali faticano a classificare. L'application wallpaper non è un'app, non è un documento, non è un allegato email: è un programma Windows che l'utente installa volontariamente, spesso senza percepirlo come tale. La responsabilità della verifica non può ricadere interamente sull'utente finale, ma il modello di trust delle piattaforme UGC non è costruito per contenuti eseguibili con questa granularità.

La tecnica della password "in chiaro ma invisibile" aggiunge un elemento di riflessione: gli attaccanti studiano i limiti delle difese automatiche più ancora che le vulnerabilità del software. La prossima frontiera non è sempre un bug zero-day; a volte è una comprensione più fine di dove la macchina smette di leggere e l'umano continua.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Letture correlate

  • AryStinger: 4.000 router D-Link in un botnet globale
  • Crypto-clipper: la fake reputation economy diventa arma
  • Il ThreatsDay Bulletin di giugno 2026: quando la chat condivisa di Claude

Fonti

Fonti e riferimenti
  1. securelist.com