Steam Workshop został wykorzystany do rozprowadzania malware przez zainfekowane tapety z Wallpaper Engine, a cała sprawa jest kolejnym przypomnieniem, że nawet treści pobierane z zaufanej platformy mogą stać się zagrożeniem dla konta gracza. Badacze Kaspersky opisali kampanię, w której cyberprzestępcy ukrywali szkodliwe pliki w paczkach udostępnianych jako animowane tapety. Część z nich miała tysiące, a nawet dziesiątki tysięcy pobrań, zanim zostały wykryte i usunięte. Najważniejsze jest jednak to, że nie chodziło wyłącznie o zwykłe „wyskakujące reklamy” albo irytujące śmieci w systemie. W grę wchodziły kradzież kont Steam, przejmowanie aktywnych sesji, backdoory, infostealery, koparki kryptowalut, a nawet ransomware.
Wallpaper Engine to jedna z najpopularniejszych aplikacji na Steamie, pozwalająca ustawiać animowane tapety na pulpicie. Problem polega na tym, że program obsługuje kilka typów tapet, w tym tak zwane tapety aplikacyjne. W praktyce są to normalne programy działające w systemie Windows, tylko uruchamiane jako element pulpitu. Dla uczciwych twórców to wygodna funkcja, bo pozwala robić interaktywne tapety, miniaplikacje, zegary, monitory obciążenia sprzętu albo proste gry na pulpicie. Dla cyberprzestępców to natomiast niemal zaproszenie do eksperymentów, bo użytkownik pobiera coś, co wygląda jak niewinna tapeta, a w tle może uruchomić obcy kod na swoim komputerze.
Według Kaspersky atakujący stosowali co najmniej dwa sposoby ukrywania malware. W części przypadków szkodliwe pliki EXE, DLL albo skrypty były dołączane bezpośrednio do paczki tapety. W innych malware trafiało do archiwów zabezpieczonych hasłem, a samo hasło było ukryte w nazwie pliku albo w plikach konfiguracyjnych. Dla użytkownika cały proces mógł wyglądać banalnie: znajduje ciekawą tapetę w Steam Workshop, klika subskrypcję, uruchamia Wallpaper Engine i wybiera nową animację na pulpit. Problem zaczynał się wtedy, gdy pozornie normalna tapeta wykonywała dodatkowe operacje w tle.
Najbardziej obrazowy przykład opisany przez badaczy dotyczył tapety, która na pierwszy rzut oka działała jak mała gra uruchomiona na pulpicie. Użytkownik widział normalny interfejs, wszystko wyglądało poprawnie, a sama tapeta nie budziła podejrzeń. W tle instalowany był jednak backdoor DarkKomet oraz zmodyfikowana biblioteka, której zadaniem było wyszukanie aplikacji Steam, przechwycenie danych konta i przejęcie aktywnej sesji. To szczególnie groźny scenariusz, bo przy aktywnej sesji atakujący nie zawsze potrzebuje klasycznego hasła w rozumieniu użytkownika. Może wykorzystać już zalogowane konto, a następnie użyć go do dalszego rozprowadzania zainfekowanych tapet.
Właśnie ten mechanizm sprawia, że sprawa jest groźniejsza niż zwykły przypadek pojedynczego złośliwego pliku. Jeżeli konto ofiary zostanie przejęte, może zostać użyte do publikowania kolejnych szkodliwych paczek w Steam Workshop. Dla następnych użytkowników taka zawartość może wyglądać bardziej wiarygodnie, bo nie pochodzi od świeżego, pustego konta, lecz od profilu prawdziwego gracza. To tworzy bardzo nieprzyjemny efekt kuli śnieżnej: malware kradnie konto, konto służy do wrzucania kolejnego malware, a społecznościowa struktura platformy pomaga oszustom zdobywać zaufanie.
Kaspersky wskazuje że głównym celem kampanii byli gracze w Chinach i Rosji, ale odnotowano również przypadki w innych krajach, między innymi w Singapurze, Hongkongu, Niemczech, Wietnamie, Indiach i Kanadzie. To ważne zastrzeżenie, bo nie oznacza, że problem magicznie zatrzymuje się na granicach jednego regionu. Steam Workshop jest globalny, a sama metoda ataku jest łatwa do przeniesienia na inne społeczności, inne style tapet i inne języki. Dzisiaj ofiarami mogą być głównie użytkownicy pobierający konkretne paczki popularne w Azji, jutro podobny schemat może zostać użyty wobec graczy z Europy.
Największy problem dla Valve i całego Steama polega na tym, że Steam Workshop od lat działa na prostym założeniu: społeczność tworzy, społeczność pobiera, a platforma daje wygodne narzędzia. Ten model świetnie sprawdza się przy modach, mapach, skórkach i dodatkach, ale jednocześnie tworzy ogromną powierzchnię ataku. Gracze często traktują Workshop jako coś bezpieczniejszego niż losowe strony z modami, bo wszystko odbywa się „przez Steama”. Ten przypadek pokazuje jednak, że samo logo Valve nie jest tarczą ochronną. Jeżeli dana zawartość pozwala uruchamiać kod na komputerze, ryzyko nie znika tylko dlatego, że paczka została pobrana przez oficjalny ekosystem.
To także kolejny element szerszej dyskusji o cyfrowych bibliotekach, kontach i zaufaniu do wielkich platform. Niedawno pisaliśmy na BigBadDice.pl o tym, że branża gier coraz częściej mówi wprost, że gracze nie posiadają swoich gier cyfrowych. Wtedy chodziło głównie o licencje, wyłączanie usług i kontrolę nad dostępem do kupionych produkcji. Tutaj stawka jest inna, ale równie praktyczna: konto Steam jest dla wielu osób magazynem gier, zapisów, znajomych, przedmiotów, rynku społeczności i historii zakupów. Jeżeli takie konto zostanie przejęte przez malware ukryte w tapecie, konsekwencje mogą być znacznie poważniejsze niż utrata dostępu do jednej aplikacji.
Sprawa pasuje też do wcześniejszych ostrzeżeń o zabezpieczaniu kont graczy. W osobnym tekście opisywaliśmy przypadek, w którym polski gracz mógł stracić dostęp do dużej biblioteki gier na Xboxie. Tam problemem było odzyskiwanie konta i zależność cyfrowej własności od jednego loginu. Tutaj dochodzi jeszcze bardziej bezpośrednie zagrożenie: użytkownik sam instaluje element wyglądający jak niewinna personalizacja pulpitu, a w tle może oddać przestępcom dostęp do konta, które przez lata budował za własne pieniądze.
Dla zwykłego gracza najważniejszy wniosek jest prosty: nie warto traktować Workshopa, modów i tapet jak całkowicie bezpiecznej piaskownicy. Szczególną ostrożność powinny budzić tapety aplikacyjne, paczki wymagające dodatkowych plików, archiwa z hasłami, podejrzani twórcy, świeże konta oraz elementy, które proszą o dziwne uprawnienia albo zachowują się inaczej niż zwykła tapeta. Warto też mieć włączone Steam Guard, sprawdzić aktywne sesje na koncie, regularnie przeglądać autoryzowane urządzenia i nie ignorować nietypowych powiadomień o logowaniu. Sam antywirus nie jest cudownym rozwiązaniem, ale w takim scenariuszu może zatrzymać przynajmniej część oczywistych payloadów, zanim użytkownik zorientuje się, że coś jest nie tak.
Valve usunęło zidentyfikowane złośliwe tapety i linki, ale to raczej gaszenie konkretnego pożaru niż zamknięcie całego problemu. Steam Workshop pozostaje ogromną, otwartą platformą z treściami tworzonymi przez użytkowników, a cyberprzestępcy będą wracać tam, gdzie mogą dotrzeć do dużej liczby osób przy minimalnym wysiłku. Najbardziej niepokojące jest to, że w tym przypadku nośnikiem ataku nie był piracki crack z podejrzanego forum, tylko tapeta pobrana przez popularną aplikację ze Steama. To bardzo niewygodna lekcja dla graczy: dzisiaj nie trzeba nawet instalować gry z nieznanego źródła, żeby narazić swoje konto. Czasem wystarczy ładny pulpit.
