La empresa de ciberseguridad Kaspersky ha descubierto software malicioso incrustado en cierto contenido de Wallpaper Engine distribuido a través de Steam Workshop. Según un informe publicado por la compañía el lunes, los atacantes están disfrazando archivos, muchos de los cuales parecen ser fondos de pantalla animados, para robar credenciales de cuentas de Steam, secuestrar sesiones activas e instalar malware adicional en los sistemas de los usuarios.
Contenido malicioso se propaga a través de Steam Workshop
El informe detalla que estos archivos dañinos a menudo están disfrazados como fondos de pantalla animados que presentan personajes femeninos de anime. Kaspersky señala que la característica basada en aplicaciones de Wallpaper Engine para fondos de pantalla en Windows permite a los programas ejecutables funcionar directamente, lo que crea una oportunidad para que los atacantes distribuyan malware bajo la apariencia de contenido legítimo.
Kaspersky reveló que se han identificado docenas de paquetes de fondos de pantalla comprometidos en Steam Workshop, algunos de los cuales han sido descargados miles, incluso decenas de miles de veces.
Según la empresa, mientras que algunos fondos de pantalla contienen malware directamente, otros lo esconden dentro de archivos comprimidos protegidos por contraseña, que se extraen después de la instalación. En un caso detectado en 2025, un fondo de pantalla se hacía pasar por un lanzador para un juego de escritorio legítimo, pero instalaba secretamente el backdoor conocido como DarkKomet.
Credenciales de cuentas y billeteras criptográficas en la mira
La investigación encontró que junto con prominentes familias de malware roba-información como Lumma y Vidar, los atacantes también utilizaron el cargador RenEngine. Estos programas se utilizan típicamente para recolectar nombres de usuario, contraseñas, datos del navegador e incluso credenciales de billeteras de criptomonedas. Los investigadores de Kaspersky creen que más de un actor de amenaza está probablemente detrás de la campaña, en lugar de un solo grupo.
Mini glosario: Un roba-información es un tipo de malware diseñado para recolectar información sensible como credenciales de inicio de sesión, registros del navegador y datos de billeteras digitales de una computadora. Lumma y Vidar son dos de las familias de malware más conocidas en este dominio.
Los datos de Kaspersky indican que la mayoría de las víctimas se encuentran en China y Rusia, aunque también se han registrado infecciones en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá.
Aumento en casos vinculados a Steam
El investigador de Kaspersky Maxim Starodubov atribuye la efectividad de estos ataques a la confianza de los usuarios en contenido alojado en plataformas de buena reputación. Aunque muchas de las familias de malware utilizadas no son nuevas, Starodubov explica que el método de los atacantes de entregarlas a través de contenido aparentemente inofensivo permite un mayor alcance entre los usuarios.
Starodubov enfatizó que incluso las plataformas de confianza pueden ser explotadas, señalando que los atacantes aprovechan la confianza que los usuarios tienen en los ecosistemas legítimos para llegar a un gran número de posibles víctimas.
Los hallazgos sugieren una tendencia creciente de incidentes similares vinculados a Steam. En julio de 2025, la empresa de ciberseguridad Prodaft informó que el juego Chemia, bajo Steam Early Access, fue mal utilizado para propagar Hijack Loader, Fickle Stealer y Vidar Stealer. Anteriormente, en marzo, el FBI había anunciado una investigación sobre campañas de malware propagadas a través de juegos como Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara y Tokenova en Steam.
Además, un estudio separado destacado en la misma fuente llama la atención sobre sofisticados gusanos informáticos impulsados por inteligencia artificial que pueden propagarse autónomamente a través de redes. Investigadores de la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow describieron un gusano conceptual de IA que puede identificar vulnerabilidades, adaptar su estrategia de ataque y replicarse a través de sistemas.
