Kasperskyの研究者らは、Steam WorkshopとWallpaper Engine(ユーザーがコンピューター用のライブ壁紙を作成および共有できるSteamで一般的なアプリケーション)を利用して、悪意のあるコードを拡散するキャンペーンが展開されていることを発見しました。
研究チームは、数千回のダウンロードで悪意のあるコードがインストールされている多くの壁紙パッケージを特定しました。このキャンペーンの主な目的は、中国とロシアのSteamユーザーであり、シンガポール、香港(中国)、ドイツ、ベトナム、インド、カナダの被害者も含まれています。攻撃者の目的は、ゲームアカウントを盗み、被害者のデバイスに他の種類の悪意のあるコードを展開することです。
Steam WorkshopはSteamプラットフォームに統合された機能であり、ユーザーは、mod、カスタムマップ、ゲームアイテム、デバイスの壁紙など、コミュニティが作成したコンテンツを簡単に検索、インストール、管理できます。一方、Wallpaper Engineアプリケーションは、ビデオ、インタラクションシーン、ウェブサイト、アプリケーションなど、さまざまな壁紙形式をサポートしています。
アプリケーション形式の壁紙をサポートする機能により、プログラムはユーザーのWindowsコンピューターで直接実行できます。これにより、攻撃者が合法的な偽装コンテンツを隠れ蓑にして悪意のあるソフトウェアを拡散する抜け穴が意図せずに作成されます。カスペルスキーは、Steam Workshopに投稿されたマルウェアに感染した数十の壁紙パッケージを発見しました。これらのパッケージの多くは、数千回、さらには数万回のダウンロードを記録しています。
攻撃者は主に2つの主要なマルウェア拡散方法を使用しています。最初の方法は、悪意のある実行可能ファイル、DLLライブラリ、およびコマンドセットを壁紙パッケージに直接埋め込むことです。他のケースでは、マルウェアはパスワード保護された圧縮ファイルに隠されており、パスワードはファイル名または構成ファイルに事前に挿入されています。壁紙をインストールした後、マルウェアは自動的にアクティブ化および実行されます。
攻撃は、単一のグループではなく、複数のグループまたは個人によって実行される可能性が高く、特定のマルウェアファミリーに限定されません。多くの場合、Kasperskyは、LummaやVidarなどの情報を盗むマルウェアライン、およびRenEngineマルウェアランチャーを拡散する悪意のある壁紙を検出しました。Kasperskyのセキュリティソリューションは現在、このキャンペーンに関連するすべての種類のマルウェアを検出して阻止する機能を備えています。
Kasperskyのサイバーセキュリティ専門家であるマキシム・スタロドゥボフ氏は、「信頼できるプラットフォームでさえ、マルウェアを拡散するために悪用される可能性があります。これらの攻撃は、合法的なエコシステムに保存されているコンテンツに対するユーザーの信頼に基づいています。使用されているマルウェアのほとんどは以前から知られていましたが、この拡散メカニズムは、ハッカーが無害に見えるコンテンツを通じて、多数の潜在的な被害者にアクセスするのに役立ちます」と述べています。
ユーザーを保護するために、カスペルスキーの専門家は次のようなアドバイスをしました。
信頼できると思われるソースを含む、あらゆるアプリケーションをダウンロードする際には注意してください。
コミュニティが共有するコンテンツをインストールする前に、開発者またはコンテンツ作成者の信頼性と信憑性を確認してください。
信頼できるセキュリティソリューションを使用して、脅威を検出および防止します。
