AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Detectan campaña de malware en Steam Workshop y Wallpaper Engine dirigida a gamers

Introducción

Con la llegada de la temporada estival, el incremento del tiempo libre lleva a una mayor actividad en el sector del gaming, especialmente en plataformas como Steam. Este fenómeno no ha pasado desapercibido para los actores de amenazas, que aprovechan el auge de descargas y la relajación de los hábitos de seguridad para desplegar campañas maliciosas dirigidas específicamente a los jugadores. Una reciente investigación de Kaspersky ha puesto de manifiesto una campaña activa de distribución de malware que explota recursos de la Steam Workshop, con un foco especial en Wallpaper Engine, una de las herramientas más populares para la personalización de fondos de pantalla en la plataforma.

Contexto del Incidente o Vulnerabilidad

Steam Workshop es un repositorio comunitario de mods y contenidos personalizados que permite a los usuarios descargar y compartir archivos para mejorar o modificar videojuegos. Wallpaper Engine, por su parte, es una aplicación que permite a los jugadores personalizar su escritorio con fondos de pantalla animados y ha cosechado más de 20 millones de usuarios a escala global. El ecosistema abierto de Steam Workshop, si bien impulsa la creatividad, también supone un vector de amenaza relevante: la ausencia de controles estrictos de validación de contenidos facilita la propagación de software malicioso camuflado como mods, skins o fondos de pantalla.

Según los analistas de Kaspersky, durante los meses de mayo y junio de 2024 se ha detectado un aumento significativo de archivos maliciosos subidos a la Steam Workshop asociados a Wallpaper Engine. La campaña, aún activa, emplea técnicas de ingeniería social para atraer a los usuarios a descargar estos recursos infectados bajo la apariencia de atractivos fondos de pantalla o mejoras visuales.

Detalles Técnicos

La técnica principal identificada en la campaña es el uso de ficheros ejecutables (EXE) y scripts maliciosos incluidos en los paquetes de fondos de pantalla, que se disfrazan como recursos multimedia inofensivos. El malware detectado presenta variantes de troyanos de acceso remoto (RAT) y stealers, diseñados para robar credenciales de Steam, datos de tarjetas de crédito, wallets de criptomonedas y archivos locales sensibles.

CVE asociadas: Si bien la campaña explota sobre todo la falta de controles en la validación de contenidos, se ha identificado la explotación de CVE-2023-4863 (relacionada con la ejecución de código arbitrario en archivos multimedia maliciosos) en algunas variantes.

Vectores de ataque:
– Descarga manual de fondos de pantalla manipulados desde Steam Workshop.
– Ejecución automática de scripts o binarios tras la instalación de Wallpaper Engine.

TTPs MITRE ATT&CK relevantes:
– T1059 (Command and Scripting Interpreter)
– T1204 (User Execution)
– T1566 (Phishing, vía mensajes en foros de Steam)
– T1005 (Data from Local System)

IoC (Indicadores de Compromiso):
– Hashes MD5/SHA256 de ejecutables maliciosos asociados a fondos de pantalla.
– URLs de Steam Workshop específicas con historial de reportes de malware.
– Conexiones sospechosas a servidores de C2: dominios y direcciones IP identificadas en los análisis de Kaspersky.

Impacto y Riesgos

Las consecuencias de esta campaña son especialmente graves dada la naturaleza de los datos potencialmente comprometidos. El robo de credenciales de Steam puede desembocar en el secuestro de cuentas con alto valor económico (skins, juegos, monedas virtuales), mientras que la exfiltración de información financiera y wallets puede derivar en pérdidas económicas directas. Además, la presencia de RATs facilita la persistencia en el sistema y el movimiento lateral dentro de redes domésticas o empresariales.

Se estima que más de 30.000 descargas de fondos de pantalla infectados han sido detectadas en el último mes, con un ratio de conversión a infección estimado del 18% según los telemetría de Kaspersky y otras fuentes sectoriales.

Medidas de Mitigación y Recomendaciones

– Deshabilitar la ejecución automática de scripts y binarios al instalar recursos desde Steam Workshop.
– Utilizar soluciones EDR/antivirus con capacidades de análisis en tiempo real y protección frente a amenazas avanzadas.
– Monitorizar los IoC proporcionados y bloquear los dominios de C2 identificados.
– Recomendar a los usuarios la descarga únicamente de contenidos verificados o con alta reputación y limitar los permisos de Wallpaper Engine.
– Mantener actualizado el software (incluido Steam y Wallpaper Engine), aplicando los parches críticos publicados recientemente.
– Concienciar a los usuarios sobre los riesgos de descargar mods o fondos de fuentes no oficiales.

Opinión de Expertos

Luis Corrons, Security Evangelist de Avast, señala: “El auge de la customización en el entorno gamer ha creado una superficie de ataque muy atractiva. La falta de controles en plataformas como Steam Workshop, sumada a la confianza excesiva de los usuarios, crea el cóctel perfecto para ataques dirigidos”.

Por su parte, el equipo de respuestas a incidentes de Kaspersky subraya la importancia de la detección temprana y la colaboración entre desarrolladores de plataformas y la comunidad para cerrar brechas de seguridad.

Implicaciones para Empresas y Usuarios

Las empresas con empleados gamers o que permiten el uso de Steam en dispositivos corporativos deben revisar sus políticas de seguridad para restringir la instalación de plugins y mods de fuentes no verificadas, evitando que estos vectores se conviertan en puertas de entrada a redes corporativas. Además, esta campaña sirve como advertencia de la necesidad de implementar controles de aplicación y segmentación de red, en línea con los requisitos de la directiva NIS2 y la normativa GDPR respecto a la protección de datos personales y la gestión de riesgos.

Conclusiones

La campaña activa de malware en Steam Workshop y Wallpaper Engine es un recordatorio de que los entornos de gaming y personalización son objetivos prioritarios para los ciberdelincuentes, especialmente en periodos de alta actividad estacional. La colaboración entre comunidades, desarrolladores y profesionales de ciberseguridad resulta esencial para mitigar estos riesgos y proteger tanto a usuarios finales como a infraestructuras empresariales potencialmente expuestas.

(Fuente: www.cybersecuritynews.es)