Kaspersky alerta sobre campaña de malware que usa Wallpaper Engine en Steam para infectar Windows

Kaspersky detectó una campaña de malware que utiliza el formato de fondos de pantalla personalizados de Wallpaper Engine en Steam para distribuir software malicioso a usuarios de Windows. Los atacantes aprovecharon la capacidad del formato application wallpapers para ejecutar código directamente en el sistema operativo.

Mecanismo de distribución y carga útil

Este tipo de fondo permite cargar programas ejecutables de Windows como capa del escritorio. Según los investigadores, los paquetes subidos a Steam Workshop ya alcanzaron descargas en el rango de miles e incluso decenas de miles antes de su eliminación. El malware se ocultaba dentro de archivos EXE, DLL o scripts directamente empaquetados, o bien dentro de archivos comprimidos protegidos con contraseña almacenada en los nombres o configuraciones del archivo. En varios casos, la carga útil se ejecutó automáticamente tras aplicar el fondo.

Objetivos y herramientas utilizadas

La campaña priorizó a usuarios de Steam en China y Rusia, con otros afectados en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá. Un ejemplo registrado en 2025 lanzaba un minijuego mientras instalaba en segundo plano la puerta trasera DarkKomet y una versión modificada de AggregatorHost.dll para secuestrar sesiones activas de Steam. La campaña no se limitó a un solo tipo de amenaza; también distribuyó los infostealers Lumma y Vidar, el cargador RenEngine, puertas traseras adicionales y mineros de criptomonedas. Kaspersky considera que actúan varios actores independientes más que un único grupo organizado.

La empresa señala que Steam retiró los fondos y enlaces maliciosos antes de publicar el informe, aunque actualizó la nota indicando que algunos ya circulaban desde agosto. Los usuarios que descargaron fondos sospechosos deben eliminarlos, escanear su equipo y revisar la actividad reciente de sus cuentas en Steam.

Fuente: Kasperky | Videocardz