-
El software malicioso se ejecutaba automáticamente al instalar el fondo de pantalla.
-
Kaspersky identificó decenas de paquetes infectados con miles de descargas.
Kaspersky descubrió una campaña de malware que utilizó paquetes de Wallpaper Engine en Steam Workshop para infectar computadoras y robar información sensible, incluyendo posibles credenciales de wallets de criptomonedas. Miles de usuarios descargaron los paquetes maliciosos antes de ser detectados.
Según la información publicada por la firma, los paquetes maliciosos acumularon miles e incluso decenas de miles de descargas antes de ser detectados.
De acuerdo con Kaspersky, Wallpaper Engine admite fondos de pantalla en formato de aplicación ejecutable, lo que permite que programas corran directamente en el sistema operativo del usuario. Los atacantes aprovecharon esta característica para incrustar ejecutables maliciosos, bibliotecas DLL y scripts dentro de paquetes de apariencia legítima publicados en Steam Workshop.
La firma identificó dos métodos de entrega: en algunos casos, los archivos maliciosos se incluían directamente en el paquete del fondo de pantalla; en otros, el software malicioso se ocultaba dentro de archivos comprimidos protegidos con contraseña, con la clave incorporada en el nombre del archivo o en archivos de configuración.
Una vez instalado el fondo de pantalla, los programas maliciosos se ejecutaban de forma automática. Entre estos figuran los infostealers, una categoría de software malicioso diseñada específicamente para extraer y exfiltrar información almacenada en el dispositivo infectado, como contraseñas, cookies de sesión, datos de navegadores y credenciales de acceso a servicios en línea.
Software malicioso identificado
Según la firma, la campaña no respondió a un único actor ni a una sola familia de software malicioso. Entre las amenazas detectadas figuran los infostealers Lumma y Vidar, el backdoor DarkKomet y el loader RenEngine.
Kaspersky señala que Lumma y Vidar tienen capacidad documentada para extraer datos del navegador, credenciales de acceso e información almacenada en wallets de criptomonedas. Aunque la firma no atribuye el robo de wallets como objetivo confirmado de esta campaña en particular.
Uno de los casos documentados por Kaspersky corresponde a un fondo de pantalla detectado en diciembre de 2025 que, en apariencia, ejecutaba un juego de escritorio sin señales visibles de compromiso.
En segundo plano, según la firma, el paquete desplegaba el backdoor DarkKomet e instalaba una biblioteca modificada diseñada para capturar información de cuentas de Steam y secuestrar sesiones activas.
Los usuarios principalmente afectados se encontraban en China y Rusia, con víctimas adicionales en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá, de acuerdo con los datos de telemetría de Kaspersky.
Kaspersky advierte que la escala del ataque fue posible porque los usuarios confiaron en contenido alojado dentro de ecosistemas legítimos. La firma sostiene que, aunque las familias de software malicioso involucradas son conocidas, el vector de distribución a través de Steam Workshop permitió a los atacantes alcanzar un volumen significativo de víctimas potenciales mediante contenido de apariencia inofensiva.
Aunque las firma no ha confirmado robos masivos de wallets en esta campaña específica, los infostealers Lumma y Vidar tienen capacidad probada para extraer semillas y contraseñas de wallets. Esto sirve como recordatorio de que los ataques a través de aplicaciones populares son cada vez más sofisticados.
La lección es clara: la mayor amenaza no siempre viene de hacks sofisticados, sino de confiar en software aparentemente inofensivo. La precaución sigue siendo la mejor herramienta de seguridad.
