Зиянкестер Steam пайдаланушыларының тіркелгі деректерін вирус жұққан жұмыс үстелінің тұсқағаздары арқылы ұрлайды

«Касперский зертханасы» мамандары Steam Workshop сервисі мен жұмыс үстеліне арналған анимациялық және интерактивті тұсқағаздарды орнатуға мүмкіндік беретін Wallpaper Engine қосымшасын пайдалану арқылы жүзеге асырылатын зиянды науқанды анықтады. Зиянкестер ондаған зиянды код енгізілген тұсқағаздар жинағын таратып, ойын аккаунттарын ұрлауды және қосымша зиянды бағдарламаларды орнатуды көздеген. Қазіргі уақытта шабуылдар Ресей, Қытай, Сингапур, Гонконг, Германия, Вьетнам, Үндістан және Канададағы Steam пайдаланушыларына бағытталған. Алайда бұл қауіптің географиялық шектеуі жоқ және Қазақстанды қоса алғанда кез келген өңірде таралуы мүмкін.

«Касперский зертханасы» сарапшыларының мәліметінше, бұл зиянды науқан кем дегенде 2025 жылдың соңынан бері жалғасып келеді. Steam Workshop арқылы таратылған кейбір тұсқағаздар пакеттері ондаған мың рет жүктелген.

Steam Workshop — Steam ойын платформасына біріктірілген сервис. Ол пайдаланушыларға ойындарға арналған модификациялар, пайдаланушылық карталар, ойын ішіндегі заттар және тұсқағаздар сияқты контентті жасауға, жариялауға және таратуға мүмкіндік береді.

Ал Wallpaper Engine қосымшасы бейнежазбалар, интерактивті көріністер, веб-парақтар мен қосымшалар негізінде тұсқағаздар жасауды қолдайды. Wallpaper Engine бағдарламасындағы қосымшалар негізінде фондық тұсқағаз жасау функциясы компьютерде орындалатын бағдарламаларды тікелей іске қосуға мүмкіндік береді. Бұл өз кезегінде қаскөйлерге зиянды бағдарламаларды заңды контент ретінде таратуға жағдай жасайды.

Зиянды бағдарламаларды жеткізудің екі негізгі тәсілі анықталды. Бірінші тәсілде зиянкестер зиянды орындалатын файлдарды, DLL кітапханаларын және сценарийлерді тұсқағаз пакетінің өзіне енгізген. Тұсқағаз орнатылғаннан кейін бұл компоненттер автоматты түрде іске қосылған. Екінші тәсілде зиянды бағдарламалар құпиясөзбен қорғалған архивтерге жасырылған. Бұл ретте архивтердің құпиясөздері олардың атауларына немесе конфигурациялық файлдарға енгізілген.

Мысалы, 2025 жылдың желтоқсанында анықталған зиянды үлгілердің бірі сырт көзге қалыпты жұмыс істеп, жұмыс үстеліне орнатылған ойынды ешқандай күмән тудырмай іске қосқан. Алайда фондық режимде зиянды тұсқағаздар пайдаланушылардың компьютеріне қашықтан қол жеткізуге арналған DarkKomet бэкдорын және Steam аккаунттарының иелеріне шабуыл жасауға бағытталған модификацияланған кітапхананы орнатқан. Соның нәтижесінде шабуылдаушылар есептік жазба деректерін жинап, танымал ойын платформасындағы белсенді сессияларды бақылауға мүмкіндік алған.

Шабуылдардың артында кім тұр? Зерттеу нәтижелері бойынша, шабуылдарды бір ғана топ емес, бірнеше тәуелсіз қаскөй жүзеге асырған болуы ықтимал. Сонымен қатар олар бір ғана зиянды бағдарлама түрімен шектелмеген. Кейбір жұқтырылған тұсқағаздар пакеттері Lumma және Vidar стилерлерін, сондай-ақ құпиясөздерді, банк карталарының деректерін және басқа да жеке мәліметтерді ұрлауға арналған RenEngine зиянды бағдарламасын жүктейтін бағдарламаны таратқан.

«Касперский зертханасы» шешімдері аталған науқанмен байланысты барлық зиянды бағдарламаларды анықтап, бұғаттайды.

«Зиянкестер зиянды бағдарламаларды тарату үшін танымал платформаларды пайдаланады, себебі пайдаланушылар мұндай ресурстардағы контентті қауіпсіз деп қабылдайды. Бұл науқанда қолданылған зиянды бағдарламалардың көпшілігі бұрыннан белгілі болғанымен, оларды жеткізу тәсілдері шабуылдаушыларға сырттай зиянсыз көрінетін тұсқағаздар арқылы көптеген әлеуетті құрбандарды қамтуға мүмкіндік береді», — деп түсіндірді «Касперский зертханасы» компаниясының киберқауіпсіздік жөніндегі сарапшысы Максим Стародубов.

Бұл қауіп туралы толық есеппен Securelist сайтында танысуға болады.

«Касперский зертханасы» сарапшыларының ұсыныстары:

• Қосымшаларды сенімді көздерден жүктеген жағдайда да барынша сақ болыңыз;
• Пайдаланушылық контентті орнатпас бұрын оның авторының беделі мен сенімділігін тексеріңіз;
• Барлық құрылғыларға тиімділігі тәуелсіз сынақтармен расталған сенімді қорғаныс шешімдерін орнатыңыз.