Są takie miejsca w internecie, które człowiek naiwnie traktuje jak względnie niewinne. Skórki do gier, paczki modów, tapety na pulpit. Ot, kosmetyka. Ma być ładnie, ma się ruszać, ma nie przypominać arkusza Excela po 10 godzinach pracy. No i proszę: nawet anime dziewczyny z Wallpaper Engine potrafią dziś przyjść z gratisem w postaci malware’u.
Kaspersky ostrzega, że cyberprzestępcy zaczęli wykorzystywać Steam Workshop i popularny program Wallpaper Engine do dystrybucji złośliwego oprogramowania. Brzmi absurdalnie? Trochę tak. Ale technicznie ma to dużo sensu, i właśnie dlatego jest niebezpieczne.
Wallpaper Engine to nie jest zwykły folder z JPG-ami. Aplikacja pozwala uruchamiać animowane, interaktywne i aplikacyjne tapety, czyli takie, które mogą korzystać z wykonywalnych plików. I tu zaczyna się problem. Bo jeżeli tapeta może odpalić program na Windowsie, to źle zabezpieczona albo celowo spreparowana tapeta może odpalić też coś, czego użytkownik zdecydowanie nie zamawiał.
Według Kaspersky’ego w Steam Workshop pojawiły się zainfekowane paczki tapet, pobierane przez tysiące użytkowników. Firma pokazała przykłady, w których przewijały się głównie rumieniące się anime dziewczyny, więc tak – ktoś ewidentnie wiedział, gdzie uderzyć. Nie w korporacyjne szablony, nie w nudne krajobrazy, tylko w tę część internetu, która kliknie śliczną animowaną waifu szybciej, niż przeczyta opis warsztatowego pliku.
Mechanizm infekcji miał działać na kilka sposobów. W jednym wariancie atakujący po prostu dorzucali do paczki złośliwy plik wykonywalny. W drugim chowali malware w archiwach zabezpieczonych hasłem, a samo hasło umieszczali w nazwie archiwum albo w plikach konfiguracyjnych. Sprytne? Niestety tak. Dla użytkownika wszystko wyglądało jak normalna tapeta, czasem nawet z działającą mini-grą czy animacją. W tle natomiast system dostawał po ryju.
Jeden z przykładów opisanych przez Kaspersky’ego miał uruchamiać pozornie legalną zawartość, ale jednocześnie instalować backdoora DarkKomet oraz zmodyfikowaną bibliotekę wymierzoną w użytkowników Steama. Cel był prosty: wykradanie informacji o koncie i przejmowanie aktywnych sesji Steam. A to już nie jest „ojej, komputer muli”. To jest potencjalna utrata konta, ekwipunku, skórek, biblioteki gier i dostępu do profilu, który dla wielu graczy ma realną wartość finansową.
Najbardziej oberwać mieli użytkownicy z Chin i Rosji, ale ślady infekcji pojawiły się też między innymi w Singapurze, Hongkongu, Niemczech, Wietnamie, Indiach i Kanadzie. Kaspersky sugeruje, że nie wygląda to na jedną centralnie sterowaną kampanię, tylko raczej na działalność kilku niezależnych grup lub pojedynczych aktorów. Innymi słowy: skoro metoda działa, to różni cwaniacy zaczęli ją kopiować.
I to jest najważniejszy wniosek. Steam Workshop od lat jest ogromnym ekosystemem modów, map, dodatków i kosmetyki. Dla graczy to wygoda, dla twórców – świetny kanał dystrybucji. Ale dla cyberprzestępców to też gotowa infrastruktura z zaufaną marką w tle. Użytkownik widzi Steam, widzi subskrypcję w Workshopie, widzi komentarze i oceny. Głowa automatycznie dopowiada: „bezpieczne”. No właśnie niekoniecznie.
Nie chodzi o to, żeby teraz kasować Wallpaper Engine i wracać do domyślnej tapety Windowsa jak jakiś człowiek po formacie z 2009 roku. Chodzi o podstawową higienę. Nie pobieraj podejrzanych tapet od anonimowych kont, sprawdzaj komentarze, datę publikacji, historię autora i to, czy zawartość nie prosi o dziwne rzeczy. Jeżeli tapeta zawiera pliki EXE, archiwa, skrypty albo zachowuje się jak mała aplikacja, a nie tło pulpitu, to zapala się lampka. Duża, czerwona, cholernie głośna.
Warto też mieć aktywną ochronę systemu, aktualnego Windowsa i Steam Guard. Jeżeli Steam nagle wylogowuje, pokazuje nietypowe logowania albo konto zaczyna zachowywać się dziwnie, trzeba natychmiast zmienić hasło, wylogować wszystkie sesje i sprawdzić autoryzowane urządzenia. W przypadku kont z drogimi skinami czy rozbudowaną biblioteką to nie jest paranoja, tylko zdrowy rozsądek.
Cała sytuacja jest kolejnym przypomnieniem, że dzisiejszy malware nie musi przychodzić jako podejrzany załącznik z maila od „księgowości”. Może wyglądać jak mod, shader, paczka tekstur, config do gry albo ładna animowana tapeta z anime dziewczyną. Cyberprzestępcy nie atakują już tylko systemu. Atakują przyzwyczajenia graczy: pośpiech, zaufanie do platformy i chęć szybkiego kliknięcia czegoś, co wygląda fajnie.
Czyli tak – nawet tapety nie są święte. I to jest chyba najbardziej irytujące w całej tej historii.
