Malware en Steam: cómo usaron fondos de pantalla animados para robar datos y minar criptos

Una campaña de distribución de malware se coló en Steam Workshop aprovechando fondos de pantalla animados de Wallpaper Engine, una de las aplicaciones más populares de la plataforma con millones de usuarios activos. El vector: archivos aparentemente inofensivos que, al descargarse, ejecutaban código malicioso en segundo plano.

Qué hacía el malware

El software malicioso tenía dos funciones principales. La primera, robar datos sensibles del sistema del usuario: credenciales, cookies de sesión, información almacenada en navegadores. La segunda, minar criptomonedas usando los recursos del equipo infectado sin ningún tipo de autorización ni conocimiento del propietario. En la práctica, el sistema del usuario trabajaba para alguien más mientras el dueño pagaba la electricidad.

Cómo funcionó la distribución

Steam Workshop permite a cualquier usuario subir y compartir contenido creado por la comunidad. Wallpaper Engine lo usa para que sus usuarios descarguen fondos de pantalla animados hechos por otros. Los atacantes aprovecharon ese sistema abierto para publicar fondos que incluían el malware embebido. El mecanismo es eficaz precisamente porque el canal de distribución es legítimo: los usuarios confían en Steam y no sospechan de un fondo de pantalla.

El contexto de la amenaza

No es la primera vez que plataformas de distribución de contenido generado por usuarios se convierten en vectores de ataque. La lógica es simple: llegar a muchos usuarios con un esfuerzo mínimo, usando la reputación de una plataforma establecida como paraguas. Valve no tiene un sistema de revisión automatizada lo suficientemente robusto para detectar este tipo de amenazas antes de que se propaguen.

Qué hacer si usás Wallpaper Engine

Los investigadores recomiendan revisar los fondos de pantalla instalados desde Workshop, evitar descargar contenido de cuentas sin historial o con pocas valoraciones, y correr un análisis completo de seguridad en el sistema. Actualizar el antivirus no es suficiente si el vector fue una descarga previa que ya ejecutó código.

El dato para llevarse: Wallpaper Engine tiene más de 45 millones de usuarios registrados en Steam. Si incluso una fracción mínima descargó los fondos comprometidos, el alcance potencial de la campaña es considerable.