别乱安装壁纸!WallpaperEngine创意工坊恶意壁纸可用于攻击

admin
admin
admin
0
文章
0
评论
2026-06-19 05:26:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 公开资料显示,Steam创意工坊出现恶意WallpaperEngine动态壁纸攻击事件,攻击者利用应用壁纸的代码执行特性传播后门、信息窃取器等恶意载荷。关键发现包括攻击通过篡改系统DLL窃取Steam会话凭证,并形成蠕虫式传播链。建议用户优先使用视频类壁纸、开启二次验证,并检查系统目录异常文件及C2外联行为。 综合评分: 85 文章分类: 恶意软件,威胁情报,安全意识,漏洞预警,解决方案

cover_image

别乱安装壁纸! Wallpaper Engine创意工坊恶意壁纸可用于攻击

白帽子

2026年6月18日 07:34 广东

在小说阅读器读本章

去阅读

以下文章来源于黑鸟 ,作者黑鸟

黑鸟 .

一介草民,深耕威胁情报领域多年,自封威胁分析师,APT狩猎者,战略忽悠分析师。 专注推送一切前沿高科技/人工智能、网络安全分析、敌我战略分析、数据挖掘、情报扩线、网络武器分析、社会工程学、一切开源情报、军事分析忽悠等。

自2025年末起,Steam创意工坊平台出现批量恶意Wallpaper Engine动态壁纸,攻击者利用软件“应用壁纸”的代码执行特性,将恶意载荷嵌入壁纸文件中传播。攻击核心目标为窃取玩家Steam账户权限,同时可向终端植入后门、加密货币挖矿程序等恶意组件。

经卡巴斯基统计,已发现数十款具备感染能力的恶意壁纸,单款下载量可达数千至数万次,受害用户高度集中于中国与俄罗斯地区。

本次攻击的核心利用点为Wallpaper Engine的应用类壁纸功能(application):

该类型壁纸本质是独立Windows可执行程序,可直接在用户本地运行代码;结合Steam创意工坊低门槛的开放上传机制,攻击者无需复杂免杀即可实现恶意内容的规模化分发。

目前两种主流传播手法

直连打包型:将恶意EXE、DLL文件或脚本与正常壁纸程序封装在同一压缩包,用户应用壁纸时恶意载荷自动触发执行。

加密隐藏型:恶意载荷存放于带密码保护的压缩包内,密码明文隐藏在压缩包文件名或配套JSON配置文件中,通过内置脚本自动解密执行,或诱导用户手动输入密码解压。

以捕获的游戏类恶意壁纸样本为例,完整攻击流程分为4个阶段:

  1. 伪装启动与载荷释放 用户应用壁纸后,._cache_GAME1.exe模块启动前台游戏界面作为迷惑,同时向C:\ProgramData\目录释放DarkKomet家族后门程序Synaptics.exe,完成后门驻留。

  2. 系统DLL篡改与凭证窃取 ._cache_GAME1.exe同时加载被篡改的系统库AggregatorHost.dll,该恶意DLL遍历本地进程列表,精准匹配steam.exe与steamchina.exe进程,读取内存中的活跃登录会话数据。

  3. 数据回传与会话接管 被篡改的DLL将窃取的Steam会话ID、账户信息通过HTTP请求外发至攻击者C2服务器120.48.156[.]17/ey.php;攻击者拿到有效会话后,可直接绕过登录验证接管受害者Steam账户。

  4. 蠕虫式二次传播 攻击者利用被盗账户向Steam创意工坊上传新的恶意壁纸,扩大攻击范围,形成自传播链条。

本次攻击涉及的恶意载荷覆盖信息窃取器(Lumma、Vidar)、后门(DarkKomet)、勒索程序、挖矿程序、加载器(RenEngine)等多类家族,工具栈分散无统一特征,研判为多个独立黑客团伙同时利用该传播渠道牟利,非单一组织的定向攻击。

可重点关注以下异常特征:

系统目录出现非官方签名的Synaptics.exe文件

系统AggregatorHost.dll文件哈希、路径异常

终端向本次披露的C2地址发起HTTP外联请求

用户侧:谨慎下载“Application(应用)”类型壁纸,优先使用视频、场景类壁纸;应用新壁纸前先通过杀毒软件扫描;开启Steam令牌二次验证,降低会话被盗后的账户损失。

自查C2服务器地址 http://202.144.192[.]29 http://120.48.156[.]17 http://brightly[.]to

参考:

https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:白帽子 《别乱安装壁纸! Wallpaper Engine创意工坊恶意壁纸可用于攻击》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0