Crypto Nightmare sur Steam : Des Malwares Cachés dans des Fonds d'Écran Anime Exposés

Des chercheurs en sécurité avertissent : Steam Wallpaper Engine détourné pour diffuser des logiciels malveillants voleurs de Crypto

Des chercheurs en sécurité ont découvert une campagne cybercriminelle croissante ciblant les utilisateurs de Steam Wallpaper Engine, l'une des applications de fonds d'écran animés les plus populaires sur la plateforme Steam.

Selon la société de cybersécurité Kaspersky, des attaquants abusent du système de distribution Steam Workshop pour télécharger et distribuer des fonds d'écran animés malveillants déguisés en contenu légitime. Ces fichiers présentent souvent des designs visuellement attrayants, notamment des personnages de style anime, afin d'attirer des téléchargements et d'augmenter l'engagement.

Certains des fonds d'écran infectés auraient accumulé des milliers à des dizaines de milliers d'installations, illustrant à quel point les plateformes de confiance peuvent facilement être exploitées pour une distribution massive de logiciels malveillants.

Comment le logiciel malveillant est distribué

La chaîne d'attaque est relativement simple mais très efficace.

Les cybercriminels téléchargent sur Steam Workshop des packs de fonds d'écran apparemment inoffensifs, les présentant comme :

• Des fonds d'écran de bureau animés
• Des thèmes d'arrière-plan en direct
• Des packs visuels populaires de style anime
• Des œuvres artistiques personnalisées conçues par la communauté

Une fois installé, le pack de fonds d'écran déclenche des scripts malveillants cachés qui s'exécutent en arrière-plan à l'insu de l'utilisateur.

Comme le contenu est distribué via l'écosystème officiel de Steam, de nombreux utilisateurs supposent qu'il est sûr et vérifié, ce qui réduit les soupçons et augmente les taux d'infection.

Ce que fait réellement le logiciel malveillant

Une fois activés sur le système d'une victime, les fonds d'écran malveillants peuvent déployer plusieurs types de charges utiles conçues pour voler des données sensibles.

Les analystes en sécurité ont confirmé que la campagne est liée à des familles de logiciels malveillants de vol d'informations bien connues, notamment :

• Lumma Stealer
• Vidar Stealer

Ces infostealers sont capables d'extraire un large éventail de données personnelles et financières.

Les cibles incluent les portefeuilles Crypto et les identifiants de connexion

Selon les conclusions de Kaspersky, le logiciel malveillant est conçu pour collecter des informations hautement sensibles, notamment :

• Les noms d'utilisateur et mots de passe des comptes Steam
• Les cookies de session de connexion actifs
• Les identifiants de navigateur enregistrés
• Les données de remplissage automatique des navigateurs web
• Les informations des portefeuilles de Crypto-monnaies

Le ciblage des portefeuilles crypto est particulièrement préoccupant pour les utilisateurs d'actifs virtuels, car les identifiants volés peuvent potentiellement entraîner des pertes financières directes.

Une fois extraites, les données sont transmises à des serveurs contrôlés par les attaquants, où elles peuvent être utilisées pour la prise de contrôle de comptes, l'usurpation d'identité, ou vendues sur des marchés clandestins.

Pourquoi Steam Wallpaper Engine est exploité

Wallpaper Engine est largement utilisé en raison de ses fonctionnalités personnalisées et de sa vaste bibliothèque de contenu communautaire sur Steam Workshop.

Source : Wu Blockchain

Cette popularité crée un environnement idéal pour les attaquants car :

• Les utilisateurs font confiance au contenu de Steam Workshop
• Les téléchargements sont souvent automatiques ou perçus comme peu risqués
• Le contenu visuel (comme les fonds d'écran) est rarement considéré comme dangereux
• Une large base d'utilisateurs augmente le potentiel d'exposition

Les experts en cybersécurité notent que les attaquants se tournent de plus en plus vers l'exploitation de plateformes de confiance plutôt que de sites web suspects, rendant la détection plus difficile.

Risques de sécurité pour les utilisateurs Steam et les détenteurs de Crypto

La campagne met en lumière une préoccupation plus large en matière de cybersécurité : la convergence des plateformes de jeux et du ciblage financier.

Les comptes Steam contiennent souvent des actifs virtuels précieux tels que :

• Des jeux achetés
• Des inventaires d'échange (dans certains cas d'une valeur significative)
• Des méthodes de paiement enregistrées
• Des comptes email connectés

Combiné au ciblage des portefeuilles crypto, l'impact potentiel devient considérablement plus grave.

Les experts avertissent qu'une fois qu'un attaquant accède aux cookies de session ou aux identifiants enregistrés d'un utilisateur, il peut contourner les protections de connexion traditionnelles telles que les mots de passe ou même certaines méthodes d'authentification à deux facteurs.

Avertissement de Kaspersky et détails de détection

Kaspersky a signalé l'activité malveillante et suit activement les variantes de la campagne.

Les familles de logiciels malveillants détectées, notamment Lumma et Vidar, sont connues pour :

• L'exfiltration rapide de données
• Des capacités de vol modulaires
• La capacité de contourner les protections antivirus de base
• Des mises à jour fréquentes pour échapper à la détection

Les chercheurs en sécurité soulignent que ces outils sont couramment vendus en tant que « malware-as-a-service », permettant à des attaquants moins qualifiés de déployer des campagnes sophistiquées.

Comment les utilisateurs peuvent se protéger

Les experts en cybersécurité recommandent plusieurs précautions aux utilisateurs Steam et aux détenteurs de Crypto :

• Ne télécharger des fonds d'écran qu'auprès de créateurs vérifiés ou de confiance
• Éviter les éléments Workshop récemment téléchargés avec un faible historique de réputation
• Examiner régulièrement les abonnements Steam Workshop installés
• Utiliser des outils antivirus et anti-malware dédiés
• Stocker les actifs crypto dans des portefeuilles matériels plutôt que dans des extensions de navigateur lorsque cela est possible
• Surveiller l'activité du compte Steam pour détecter les connexions inhabituelles

Les utilisateurs sont également invités à rester prudents même au sein des plateformes de confiance, car les systèmes de vérification peuvent être exploités ou contournés par des attaquants.

Tendance croissante à l'exploitation des plateformes de jeux

Cet incident s'inscrit dans une tendance plus large dans laquelle les cybercriminels ciblent de plus en plus les écosystèmes de jeux.

Ces dernières années, les attaquants ont utilisé :

• De faux mods pour des jeux populaires
• Des triches de jeux malveillantes
• Des liens de distribution Discord compromis
• Des téléchargements sur Steam Workshop

L'objectif est constant : exploiter la confiance des utilisateurs et les environnements à fort engagement pour diffuser des logiciels malveillants à grande échelle.

Les analystes en sécurité avertissent qu'à mesure que les plateformes de jeux continuent de croître, elles resteront probablement des cibles privilégiées pour des attaques similaires.

Conclusion

La découverte de logiciels malveillants distribués via Steam Wallpaper Engine par le biais de Steam Workshop met en évidence une menace croissante en matière de cybersécurité où des écosystèmes numériques de confiance sont utilisés comme armes.

Avec des familles de logiciels malveillants comme Lumma et Vidar capables de voler les identifiants Steam, les données de navigateur et les informations des portefeuilles de Crypto-monnaies, les risques vont bien au-delà d'une simple compromission de compte.

Alors que les attaquants continuent de faire évoluer leurs tactiques, les experts soulignent que les utilisateurs doivent rester prudents même lorsqu'ils interagissent avec du contenu apparemment inoffensif tel que des fonds d'écran.

Dans le paysage des menaces actuel, même un simple fond d'écran de bureau pourrait devenir une porte d'entrée vers le vol financier et l'usurpation d'identité.