Pesquisadores da Kaspersky descobriram uma campanha ativa de distribuição de malware dentro do Steam Workshop, plataforma da Valve usada para compartilhar conteúdos criados por usuários. Os arquivos infectados chegaram a somar milhares de downloads antes de serem identificados.
Os principais alvos estavam na China e na Rússia, mas também foram registradas vítimas em países como Singapura, Hong Kong, Alemanha, Vietnã, Índia e Canadá. O foco dos ataques era roubar contas de jogos e comprometer os computadores das vítimas.
O que é o Steam Workshop
O Steam Workshop é uma ferramenta integrada ao Steam que permite aos usuários baixar conteúdos criados pela comunidade, como mods, mapas personalizados e papéis de parede animados.
Um dos aplicativos mais populares que utiliza essa função é o Wallpaper Engine, que permite criar e compartilhar planos de fundo animados para o desktop.
O ponto de atenção está no fato de que o Wallpaper Engine suporta diferentes formatos, incluindo arquivos executáveis. Quando esse tipo de conteúdo é carregado, ele pode rodar diretamente no Windows — o que abre espaço para o uso de programas maliciosos escondidos em arquivos aparentemente inofensivos.
Como o ataque funcionava
A investigação identificou dezenas de papéis de parede infectados disponíveis para download no Steam Workshop, muitos com milhares ou até dezenas de milhares de instalações.
Os criminosos utilizaram dois métodos:
- Inserção direta de arquivos maliciosos, como executáveis, bibliotecas DLL e scripts dentro do pacote
- Ocultação de malware em arquivos compactados protegidos por senha, com a senha incluída no nome ou em arquivos de configuração
- Após a instalação do conteúdo, o malware era executado automaticamente, sem necessidade de qualquer ação adicional do usuário.
O que acontecia após a infecção
Um dos casos analisados pela Kaspersky, descoberto em dezembro de 2025, mostrava um papel de parede aparentemente normal que abria um pequeno jogo no desktop.
Enquanto isso, em segundo plano, o computador já estava comprometido. O pacote instalava o DarkKomet, um tipo de backdoor que permite controle remoto da máquina.
Além disso, o ataque incluía componentes voltados especificamente para usuários do Steam, com capacidade de:
- Roubar dados de contas
- Capturar sessões ativas
- Sequestrar acessos dentro da plataforma
- Diferentes malwares e grupos envolvidos
A análise indicou que a campanha não foi realizada por um único grupo. Vários agentes independentes participaram dos ataques, usando diferentes tipos de malware.
Entre os programas identificados estão:
- Lumma e Vidar: infostealers usados para roubar senhas, cookies e dados de navegação
- RenEngine: loader utilizado para instalar outros malwares no sistema infectado
- Essa diversidade de ferramentas indica uma operação descentralizada, com vários criminosos explorando a mesma estratégia
Por que esse tipo de ataque preocupa
O principal risco desse tipo de campanha está no uso de plataformas confiáveis para distribuição de malware. Como o Steam Workshop é amplamente utilizado e considerado seguro, muitos usuários não desconfiam do conteúdo disponível.
Isso permite que os atacantes alcancem um grande número de vítimas de forma rápida, utilizando arquivos que parecem legítimos.
Como se proteger
A Kaspersky recomenda alguns cuidados simples para reduzir os riscos:
- Verificar a reputação do criador do conteúdo antes de baixar
- Evitar arquivos com comportamento incomum ou proteção por senha suspeita
- Manter o antivírus atualizado
- Desconfiar de conteúdos que executam programas automaticamente
O caso mostra como até plataformas confiáveis podem ser exploradas para ataques cibernéticos. A combinação entre conteúdo criado pela comunidade e a possibilidade de executar arquivos no sistema cria um cenário que pode ser facilmente abusado por criminosos.
Para os usuários, a principal defesa continua sendo a cautela. Mesmo em ambientes conhecidos, é importante avaliar o que está sendo instalado — especialmente quando se trata de arquivos que podem executar código no computador.
