ده‌ها والپیپر مخرب در Steam Workshop شناسایی شد؛ حساب‌های گیمرها در معرض خطر توضیحات بدافزار

01 تیر 1405 ده‌ها والپیپر مخرب در Steam Workshop شناسایی شد؛ حساب‌های گیمرها در معرض خطر توضیحات بدافزار

ده‌ها والپیپر مخرب در Steam Workshop شناسایی شد؛ حساب‌های گیمرها در معرض خطر

توضیحات بدافزار

از اواخر سال 2025، بدافزارها با سرعت زیادی از طریق Steam Workshop منتشر شده‌اند؛ سرویسی داخلی در پلتفرم Steam که به کاربران اجازه می‌دهد محتوای سفارشی خود را ایجاد و با دیگران به اشتراک بگذارند.

مهاجمان عمدتاً گیمرهای چین و روسیه را هدف قرار داده‌اند و تلاش می‌کنند حساب‌های کاربری آن‌ها را سرقت کنند. برای این منظور، از قابلیت اشتراک‌گذاری موجود در Wallpaper Engine سوءاستفاده می‌کنند؛ اپلیکیشن محبوبی که امکان استفاده از والپیپرهای متحرک را در Steam فراهم می‌کند.

بدافزارها درون فایل‌های والپیپر به اشتراک گذاشته‌شده پنهان می‌شوند و اجرای یک والپیپر آلوده می‌تواند به سرقت حساب Steam یا آلوده شدن سیستم به Backdoorها و ماینرهای ارز دیجیتال منجر شود.

Wallpaper Engine چیست؟

Wallpaper Engine اپلیکیشنی است که امکان استفاده از والپیپرهای متحرک روی دسکتاپ را فراهم می‌کند. این برنامه برای Windows و Android در دسترس است، اما تحقیقات ما صرفاً بر نسخه Windows متمرکز بوده است.

به لطف جامعه بزرگ کاربران Steam، این برنامه محبوبیت بالایی دارد و روزانه حدود 100 هزار کاربر فعال و نزدیک به یک میلیون نظر ثبت‌شده دارد.

Wallpaper Engine دارای ویرایشگر داخلی است که کاربران می‌توانند با استفاده از آن والپیپرهای اختصاصی خود را ایجاد کنند. این برنامه از چند نوع مختلف والپیپر پشتیبانی می‌کند:

Video Wallpapers

فایل‌های ویدیویی مانند:

  • MP4
  • WebM
  • سایر فرمت‌های رایج ویدیو

Scene Wallpapers

والپیپرهای تعاملی که با استفاده از ویرایشگر داخلی Wallpaper Engine ساخته می‌شوند.

Web Wallpapers

صفحات HTML مبتنی بر JavaScript و CSS که می‌توانند شامل عناصر صوتی و تصویری نیز باشند.

Application Wallpapers

پنجره‌های فعال برنامه‌های Windows که به عنوان پس‌زمینه دسکتاپ اجرا می‌شوند.

همین دسته آخر، یعنی Application Wallpapers، بیشترین ریسک امنیتی را به همراه دارد؛ زیرا در عمل برنامه‌هایی مستقل هستند که روی سیستم اجرا می‌شوند.

این والپیپرها می‌توانند از یک بازی کوچک گرفته تا ابزارهای مدیریت زمان، تقویم، مانیتورینگ سیستم یا ویجت‌های نمایش وضعیت CPU و GPU باشند.

Application Wallpapers؛ یک ریسک امنیتی ذاتی

ماهیت Application Wallpaperها به گونه‌ای است که امکان اجرای کدهای خارجی را مستقیماً روی سیستم فراهم می‌کند.

مهاجمان سایبری نیز به سرعت متوجه این قابلیت شدند و شروع به جاسازی بدافزار در این نوع والپیپرها کردند.

از آنجا که Wallpaper Engine برای اشتراک‌گذاری محتوا به Steam Workshop متکی است، هر کاربری می‌تواند یک والپیپر ایجاد کرده و آن را به صورت رایگان برای دانلود در اختیار دیگران قرار دهد. همین موضوع این بستر را به محیطی جذاب برای مهاجمان تبدیل کرده است.

در تحقیقات خود، ده‌ها والپیپر مخرب از نوع Application Wallpaper را در Steam Workshop شناسایی کردیم که هر کدام هزاران یا حتی ده‌ها هزار بار دانلود شده بودند.

روش‌های انتشار بدافزار

تحلیل نمونه‌های شناسایی‌شده نشان داد مهاجمان از دو روش اصلی برای انتشار بدافزار استفاده می‌کنند:

روش اول

قرار دادن فایل اجرایی والپیپر در کنار فایل‌های مخرب در یک آرشیو.

این فایل‌ها معمولاً شامل موارد زیر بودند:

  • فایل‌های EXE آلوده
  • فایل‌های DLL آلوده
  • اسکریپت‌های مخرب

روش دوم

پنهان کردن بدافزار درون یک آرشیو محافظت‌شده با رمز عبور.

در این سناریو، یا قربانی فریب داده می‌شود تا رمز عبور را وارد کند یا این کار به‌صورت خودکار توسط یک اسکریپت انجام می‌شود.

مهاجمان معمولاً رمز عبور را در یکی از این دو محل قرار می‌دهند:

  • نام فایل آرشیو
  • فایل پیکربندی JSON که همراه والپیپر نصب می‌شود

در بسیاری از نمونه‌ها نیز بدافزار بلافاصله پس از انتخاب و اعمال والپیپر به‌طور خودکار اجرا می‌شد.

نگاهی به یک والپیپر آلوده

در ظاهر، نمونه‌ای که در دسامبر 2025 کشف شد کاملاً بی‌خطر به نظر می‌رسد.

پس از اجرا:

  • بازی داخلی بدون مشکل اجرا می‌شود
  • عملکرد روانی دارد
  • کنترل‌های دسکتاپ به‌درستی کار می‌کنند

هیچ نشانه‌ای وجود ندارد که کاربر را به وجود فعالیت مخرب مشکوک کند.

اما در پشت صحنه، آلودگی سیستم در حال انجام است.

تنها چند دقیقه بعد ممکن است:

  • حساب Steam کاربر سرقت شود
  • سیستم به بدافزار آلوده شود
  • فایل‌ها توسط باج‌افزار رمزگذاری شوند
  • عملکرد سیستم به دلیل فعالیت ماینرهای مخفی به شدت کاهش پیدا کند

بدافزار چگونه اجرا می‌شود؟

پس از اجرای والپیپر آلوده، فایل Backdoorی با نام:

Synaptics.exe

که متعلق به خانواده بدافزاری DarkKomet است، روی سیستم قربانی نصب می‌شود.

همزمان فایل اجرایی دیگری با نام:

._cache_GAME1.exe

برای اجرای بازی اصلی یعنی NTRaholic اجرا می‌شود.

اما این فایل تنها مسئول اجرای بازی نیست.

در پشت صحنه، نسخه‌ای دستکاری‌شده از کتابخانه سیستمی:

AggregatorHost.dll

را نیز روی سیستم نصب می‌کند.

سرقت اطلاعات Steam

وظیفه اصلی AggregatorHost.dll آلوده، یافتن برنامه Steam و جستجوی اطلاعات مربوط به حساب کاربری است.

پس از شناسایی Steam، این ماژول جلسه فعال کاربر را تصاحب می‌کند و کنترل آن را در اختیار مهاجمان قرار می‌دهد.

در ادامه، اطلاعات جمع‌آوری‌شده به سرور مهاجمان ارسال می‌شود.

پس از در اختیار گرفتن Session فعال کاربر، مهاجمان می‌توانند از حساب قربانی برای انتشار والپیپرهای مخرب بیشتر در Steam Workshop استفاده کنند.

مهاجمان چه کسانی را هدف قرار داده‌اند؟

نمونه معرفی‌شده تنها یکی از ده‌ها نمونه‌ای است که در این تحقیق شناسایی شد.

مهاجمان از قابلیت Application Wallpaper برای انتشار انواع مختلف بدافزار استفاده کرده‌اند؛ از جمله:

  • Infostealerها
  • Backdoorها
  • Crypto Minerها
  • Loaderهای Botnet

تنوع بالای ابزارهای مورد استفاده نشان می‌دهد که احتمالاً با یک گروه واحد مواجه نیستیم، بلکه چندین گروه مستقل به‌طور هم‌زمان از این روش سوءاستفاده می‌کنند.

پراکندگی قربانیان

بیشترین قربانیان در:

چین

89%

قرار دارند.

پس از آن:

  • روسیه: 5.5%
  • سنگاپور: 1.4%
  • هنگ‌کنگ: 0.9%
  • آلمان: 0.9%
  • ویتنام: 0.9%
  • هند: 0.5%
  • کانادا: 0.5%

قرار دارند.

با این حال، هیچ مانعی برای گسترش این حملات به سایر کشورها وجود ندارد.

چگونه از خود محافظت کنیم؟

این تحقیق نشان می‌دهد حتی پلتفرم‌های شناخته‌شده و محبوبی مانند Steam Workshop نیز کاملاً ایمن نیستند.

بیشتر تهدیدات شناسایی‌شده شامل خانواده‌های شناخته‌شده‌ای مانند موارد زیر بودند:

  • DarkKomet
  • Lumma
  • Vidar
  • RenEngine

راهکارهای امنیتی کسپرسکی قادرند این تهدیدات را صرف‌نظر از نحوه بسته‌بندی و مخفی‌سازی آن‌ها شناسایی و مسدود کنند.

توصیه‌های امنیتی

  • قبل از اعمال هر والپیپر دانلودشده، آن را با آنتی‌ویروس اسکن کنید.
  • تنها از محتوای منتشرشده توسط سازندگان معتبر استفاده کنید.
  • از دانلود والپیپرهایی که شامل فایل‌های اجرایی یا آرشیوهای مشکوک هستند خودداری کنید.
  • از یک راهکار امنیتی به‌روز برای محافظت از سیستم و حساب Steam خود استفاده کنید.

در زمان انتشار این گزارش، تیم Steam تمامی والپیپرهای مخرب شناسایی‌شده و لینک‌های مرتبط را حذف کرده بود. با این حال، با توجه به ظهور مداوم نمونه‌های جدید، نباید صرفاً به کنترل‌های Steam برای شناسایی این تهدیدات متکی بود.

محصولات مرتبط

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد