Wallpaper Engine – Malware roba cuentas STEAM
19 junio, 2026Malware en STEAM: usan fondos de pantalla de Wallpaper Engine para robar datos, investigadores de seguridad de la empresa Kaspersky detectaron una campaña que distribuyó software malicioso a través de fondos animados en STEAM Workshop.
Durante los últimos meses, los atacantes han estado introduciendo malware en STEAM a través de fondos de pantalla animados, secuestrando/robando las cuentas/datos de las víctimas que los instalan y utilizando esas cuentas robadas para subir más archivos infectados. Así lo afirman los investigadores de Kaspersky, Maxim Starodubov y Denis Brylev, quienes publicaron recientemente un informe en Securelist. Según el informe, la campaña de malware lleva activa desde finales del año pasado y se centra en jugadores en China, distribuyendo desde programas para robar credenciales hasta mineros de criptomonedas y ransomware. Kaspersky detectó decenas de paquetes maliciosos, algunos descargados decenas de miles de veces antes de ser eliminados. El responsable es Wallpaper Engine, una herramienta de fondos de pantalla animados de 4,99 dólares que se encuentra entre los títulos no relacionados con juegos más utilizados en STEAM, con entre 93.000 y 114.000 usuarios simultáneos y casi un millón de reseñas. La aplicación admite cuatro tipos de fondos de pantalla, y uno de ellos, el “fondo de pantalla de aplicación”, es un programa ejecutable independiente para Windows que se ejecuta como fondo de escritorio. Eso también abre la puerta a la ejecución de código de terceros en el equipo del usuario, que es precisamente lo que aprovecharon los atacantes.
Kaspersky observó dos métodos de distribución. En algunos paquetes, los archivos EXE, DLL o scripts maliciosos se encontraban junto a los archivos legítimos de fondo de pantalla. En otros, la carga útil estaba oculta dentro de un archivo protegido con contraseña, la cual estaba integrada en el nombre del archivo o en un archivo de configuración JSON, lo que permitía que un script lo abriera automáticamente. Al aplicar el fondo de pantalla, se activaba la carga útil. En una muestra analizada el pasado diciembre, los investigadores lograron iniciar un juego de escritorio funcional mientras instalaban discretamente una puerta trasera de DarkKomet llamada Synaptics.exe y una biblioteca del sistema manipulada, AggregatorHost.dll. Esta biblioteca localiza la aplicación Steam en ejecución, busca las credenciales de la cuenta, secuestra la sesión activa y envía los datos a un servidor de comando y control. El control de una sesión activa permite a los atacantes publicar nuevos fondos de pantalla maliciosos con el nombre de la víctima, razón por la cual la campaña se regenera tras las eliminaciones. Kaspersky ubicó el 89% de los intentos de descarga maliciosa en China, seguido de Rusia con un 5,5% y porcentajes menores en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá. Esta concentración coincide con la base de usuarios de Wallpaper Engine, que se inclina mayoritariamente hacia China. Las cargas útiles abarcaban la puerta trasera DarkKomet, los programas de robo de información Lumma y Vidar, el cargador RenEngine, mineros y ransomware, una propagación que los investigadores atribuyeron a que múltiples grupos independientes se sumaron a la misma técnica, en lugar de a un único actor o grupo malicioso.
Nota oficial:
JAMPS es una comunidad creada en el año 2010 que tuvo su origen en el 2008 formándose como comunidad en el 2009 con otro nombre en ese momento, para finalmente el 17 de Octubre de 2010 estar online hasta el día de hoy como JAMPS.