Pelaku ancaman menyalahgunakan Steam Workshop, pusat komunitas Valve untuk mengunduh konten terkait game, untuk menyembunyikan berbagai malware dalam paket wallpaper.
Wallpaper yang terinfeksi dapat menyebabkan pembajakan akun Steam, membahayakan sistem dengan pintu belakang, atau menjalankan proses penambangan kripto.
Steam Workshop adalah platform berbagi konten bawaan pada layanan game Steam Valve tempat pengguna dapat mengunggah dan mengunduh konten buatan komunitas untuk game dan aplikasi.
Kontennya mencakup mod, peta, skin, penyimpanan file, alat, dan konten buatan pengguna lainnya seperti wallpaper.
Malware di wallpaper
Dalam laporannya hari ini, para peneliti di perusahaan keamanan siber Kaspersky mengatakan bahwa serangan tersebut menyalahgunakan aplikasi penyesuaian desktop Wallpaper Engine yang tersedia di Steam, yang telah hampir satu juta ulasan.
Wallpaper Engine mendukung empat jenis wallpaper yang merender video, adegan interaktif, halaman web yang dapat memutar audio dan video, dan aplikasi, yaitu jendela aktif dari perangkat lunak yang ditetapkan Wallpaper Engine sebagai latar belakang desktop.
Wallpaper aplikasi adalah aplikasi Windows yang dapat dijalankan yang dapat menyertakan permainan, widget desktop, dan alat pemantauan sistem. Kaspersky memperingatkan bahwa fitur tersebut mewakili risiko keamanan bawaan dan telah disalahgunakan untuk mengirimkan malware ke pengguna Steam.
Menurut para peneliti, penyerang memanfaatkan celah keamanan ini setidaknya sejak akhir tahun 2025, dengan mengunggah file wallpaper berbahaya ke Steam Workshop dan menipu pengguna agar menginstalnya melalui Wallpaper Engine.
“Kami menemukan lusinan wallpaper aplikasi berbahaya yang beredar di Steam Workshop, dan masing-masing telah diunduh ribuan – atau bahkan puluhan ribu – kali,” catat Kaspersky.
Sumber: Kaspersky
Analisis terhadap wallpaper yang disusupi mengungkapkan bahwa malware tersebut dibundel secara langsung di dalam paket atau di dalam arsip yang dilindungi kata sandi sehingga pengguna tertipu untuk membukanya.
Payload dijalankan secara otomatis saat pengguna memasang wallpaper, kata para peneliti.
Sumber: Kaspersky
Kaspersky menguji salah satu wallpaper ini dengan menyamar sebagai game bernama NTRaholic, yang diluncurkan sesuai harapan saat dijalankan untuk mengurangi kecurigaan. Namun, file pintu belakang yang merupakan bagian dari keluarga malware DarkKomet dipasang di latar belakang.
Versi khusus perpustakaan sistem yang disebut ‘AggregatorHost.dll’ juga diinstal untuk mencari akun Steam di komputer dan mencuri kredensial akun.
Sumber: Kaspersky
Para peneliti menemukan beberapa kasus yang melibatkan keluarga malware lain, seperti infostealer Lumma dan Vidar, penambang mata uang kripto, botnet loader, RanEngine, dan bahkan jenis ransomware, yang menunjukkan bahwa Wallpaper Engine disalahgunakan oleh berbagai pelaku ancaman.
Meskipun Steam telah mengidentifikasi dan menghapus semua aplikasi wallpaper berbahaya yang diidentifikasi Kaspersky, namun para peneliti memperingatkan bahwa pelaku ancaman kemungkinan akan mengirimkan aplikasi baru.
Selain mengunduh konten dari sumber tepercaya, Kaspersky merekomendasikan pengguna untuk memindai apa pun yang diambil dari Steam Workshop menggunakan produk antivirus terbaru.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
