Mã độc thông qua hình nền nhắm vào người dùng Steam
Tin tặc lợi dụng Steam Workshop để phát tán mã độc ngụy trang dưới dạng hình nền máy tính, dẫn đến nguy cơ thiết bị bị lây nhiễm mã độc và tài khoản người dùng bị đánh cắp, trong đó có người dùng Việt Nam.
Các nhà nghiên cứu của Kaspersky phát hiện một chiến dịch phát tán mã độc đang được triển khai, lợi dụng Steam Workshop và Wallpaper Engine - ứng dụng phổ biến trên Steam cho phép người dùng tạo và chia sẻ hình nền động cho máy tính.
Nhóm nghiên cứu đã xác định nhiều gói hình nền bị cài cắm mã độc với hàng nghìn lượt tải xuống.
Steam Workshop là tính năng tích hợp trên nền tảng Steam, cho phép người dùng dễ dàng tìm kiếm, cài đặt và quản lý các nội dung do cộng đồng tạo ra như bản mod (bản chỉnh sửa, thay đổi hoặc mở rộng), bản đồ tùy chỉnh, vật phẩm trong game và hình nền thiết bị.
Trong khi đó, ứng dụng Wallpaper Engine hỗ trợ nhiều định dạng hình nền khác nhau, bao gồm video, cảnh tương tác, trang web và ứng dụng.
Mục tiêu chính của chiến dịch này là người dùng Steam tại Trung Quốc và Nga, ngoài ra còn có nạn nhân tại Singapore, Hồng Kông, Đức, Việt Nam, Ấn Độ và Canada. Mục tiêu của kẻ tấn công là đánh cắp tài khoản game và triển khai thêm các loại mã độc khác trên thiết bị của nạn nhân.
Tính năng hỗ trợ hình nền dạng ứng dụng cho phép các chương trình chạy trực tiếp trên máy tính Windows của người dùng. Điều này vô tình tạo ra kẽ hở để kẻ tấn công phát tán phần mềm độc hại dưới vỏ bọc những nội dung giả danh hợp pháp.
Kaspersky đã phát hiện hàng chục gói hình nền bị nhiễm mã độc được đăng tải trên Steam Workshop. Nhiều gói trong số này ghi nhận hàng nghìn, thậm chí hàng chục nghìn lượt tải xuống.
Các đối tượng tấn công chủ yếu sử dụng hai phương thức phát tán mã độc chính. Cách đầu tiên là nhúng trực tiếp các tệp thực thi độc hại, thư viện DLL và tập lệnh vào gói hình nền. Trong các trường hợp khác, mã độc được giấu trong tệp nén có mật khẩu bảo vệ, trong đó mật khẩu được chèn sẵn vào tên tệp hoặc tệp cấu hình. Sau khi cài đặt hình nền, mã độc sẽ tự động được kích hoạt và thực thi.
Ví dụ, một mẫu hình nền độc hại được phát hiện vào tháng 12/2025 ban đầu vẫn hoạt động hoàn toàn bình thường, thậm chí còn khởi chạy một trò chơi mini được tích hợp sẵn trên màn hình nền mà không có bất kỳ dấu hiệu bất thường nào.
Tuy nhiên, ở chế độ nền, hình nền này âm thầm triển khai mã độc cửa hậu DarkKomet và cài đặt một thư viện đã bị chỉnh sửa nhằm nhắm mục tiêu vào người dùng Steam. Mã độc này có khả năng thu thập thông tin tài khoản và chiếm quyền các phiên đăng nhập Steam đang hoạt động.
Các cuộc tấn công khả năng cao được thực hiện bởi nhiều nhóm hoặc cá nhân khác nhau thay vì chỉ một nhóm duy nhất, đồng thời cũng không giới hạn ở một họ mã độc cụ thể. Trong nhiều trường hợp, Kaspersky đã phát hiện các hình nền độc hại phát tán những dòng mã độc đánh cắp thông tin như Lumma và Vidar, cũng như trình tải mã độc RenEngine. Các giải pháp bảo mật của Kaspersky hiện có khả năng phát hiện và ngăn chặn toàn bộ các loại mã độc liên quan đến chiến dịch này.
Ông Maxim Starodubov, chuyên gia an ninh mạng tại Kaspersky, nhận định: “Ngay cả những nền tảng đáng tin cậy cũng có thể bị lợi dụng để phát tán mã độc. Các cuộc tấn công này dựa trên niềm tin của người dùng đối với nội dung được lưu trữ trên những hệ sinh thái hợp pháp. Mặc dù phần lớn dòng mã độc được sử dụng đều đã được biết đến từ trước, cơ chế phát tán này vẫn giúp tin tặc tiếp cận số lượng lớn nạn nhân tiềm năng thông qua những nội dung tưởng chừng vô hại”./.
