自2025年底以来，恶意软件通过Steam工作坊迅速传播，这是该游戏平台为玩家创建和分享自定义内容而提供的内置服务。攻击者主要瞄准中国和俄罗斯的玩家，旨在劫持他们的账户。为了实现这一目标，他们利用了Wallpaper Engine——一个可在Steam上获得的流行动态壁纸应用，特别是利用其工作坊分享功能。恶意软件隐藏在用户相互分享的壁纸包中。运行这些被感染的壁纸可能导致Steam账户被窃取，或使受害者的系统感染后门程序或加密货币挖掘工具。 什么是Wallpaper Engine？Wallpaper Engine是一个让你可以在桌面上放置动画壁纸的应用。它同时适用于Windows和Android，但我们的调查严格集中于Windows版本。得益于庞大的Steam社区，该应用相当受欢迎，拥有约100,000个每日活跃用户和近百万条评论。它配备了内置的编辑器，用户可以创建自己的设计，并支持几种不同类型的壁纸：视频：MP4、WebM和其他常见视频格式场景：在应用内自定义编辑器构建的互动壁纸网页：由JavaScript和CSS驱动的HTML页面，也可包括音频和视频元素应用程序：来自第三方与Windows兼容软件的活动窗口，Wallpaper Engine将其设置为用户的桌面背景。最后一种类型——应用程序壁纸——风险较大，因为这些本质上是独立的程序。它们可以是你直接在桌面上玩的迷你游戏，计划工具，日历，系统监控工具，或跟踪CPU或GPU使用情况的小部件。 应用程序壁纸：内置安全风险“应用程序壁纸”的整个概念基本上允许外部代码直接在你的计算机上运行。网络犯罪分子注意到了这个功能，并开始将恶意软件直接嵌入这些类型的壁纸中。由于Wallpaper Engine依赖于Steam工作坊进行内容分享，任何人都可以创建壁纸并发布给社区免费下载和安装。自然，这种设置是不法分子的“吸铁石”。我们发现数十个恶意应用程序壁纸在Steam工作坊中流传，每个壁纸已经被下载数千次甚至数万次。当我们分析时，发现攻击者使用了两种不同的方法传播他们的恶意软件：一个包含可执行壁纸和恶意文件的压缩包。这个有效载荷通常由被攻陷的EXE文件、DLL或恶意脚本组成。在其他情况下，攻击者出其不意，将恶意软件隐藏在密码保护的压缩包内。受害者要么被误导输入密码，要么由脚本自动处理。攻击者会将密码隐藏在显而易见的位置——要么直接在压缩包的名称中，要么在与其他壁纸文件一起安装的JSON配置文件中。对于所有其他变体，当用户选择和应用壁纸时，负载会自动触发。在一个被感染的游戏壁纸中壁纸应用程序的主屏幕从表面上看，我们在2025年12月发现的这个壁纸样本似乎完全无害。一旦启动，绝对没有任何事情能引起你的怀疑。内置游戏完美启动，流畅运行，桌面控制功能如预期工作。然而，在后台，一场全面的感染正在进行中。在短短几分钟内，用户可能会突然意识到他们的Steam账户被劫持，或者发现他们的计算机因恶意软件受损，文件被勒索软件加密，或因隐藏的加密货币矿工而导致系统性能下降。 恶意软件如何部署 一旦游戏壁纸启动，它会向受害者的系统直接投放一个名为Synaptics.exe的后门文件（属于DarkKomet恶意软件家族）。与此同时，一个名为._cache_GAME1.exe的可执行文件被启动，以启动实际的游戏NTRaholic。但该._cache_GAME1.exe模块承担着双重职责。它同时安装一个名为AggregatorHost.dll的系统库的自定义版本，内部带有有效载荷。这个修改后的库有一个主要目标：在计算机上追踪Steam应用并寻找账户凭证。 寻找Steam应用接下来，修改后的库劫持用户的实时Steam会话。 劫持Steam会话之后，受损的AggregatorHost.dll将收集到的数据发送到黑客控制的服务器hxxp://120.48.156[.]17/ey.php。一旦攻击者控制了该活动会话，他们可以使用受害者的账户向Steam工作坊上传更多恶意壁纸。 归属和受害者 上述描述的游戏壁纸只是我们研究过程中发现的许多变体中的一种。通过武器化的应用程序壁纸，我们发现了许多不同的恶意软件变种，可能会对玩家构成严重威胁。