Wallpaper Engine utilizzato negli scorsi mesi per diffondere malware, attenzione ai pacchetti di immagini soft-porno

[Barrnet]

Secondo un comunicato di Kasperksy, nota azienda di sicurezza di origine russa, sembra che lo Steam Workshop sia stato di recente utilizzato come vettore per la propagazione di malware. Ad essere colpito è in particolare lo Steam Workshop dedicato a Wallpaper Engine, una popolare applicazione di Steam dove gli utenti possono creare e condividere sfondi animati per il desktop. La vulnerabilità sfruttata è fondamentalmente il cuore stesso dell'applicazione, che permette di eseguire i wallpaper scaricati come file con privilegi di esecuzione usando i privilegi dell'utente Windows in uso.

A complicare l'analisi dei pacchetti wallpaper è il fatto che il malware sia nascosto non solo in file, DLL e script inclusi direttamente nel pacchetto di wallpaper, ma anche in archivi protetti da password con le medesime scritte nei nomi degli archivi o nei file di configurazione, facilitando la decriptazione allo script che deve propagare l'infezione ma rendendo impossibile l'analisi da parte degli antivirus tradizionali. In questo caso si tratta di un attacco Trojan poiché i pacchetti includono effettivamente i wallpaper richiesti, ma accompagnati da diverse sorprese, come la backdoor DarkKomet pensata per fare incetta di credenziali di Steam e di dirottare sessioni attive.

Ad essere identificati come malware sono diversi pacchetti di immagini ciascuno che ha accumulato centinaia di download. I target principali sono stati utenti cinesi e russi, con altre vittime localizzate a Singapore Hong Kong, Germania, Vietnam, India e Canada. Il principale obbiettivo degli attaccanti pare essere il furto di credenziali di gioco e la diffusione di ulteriore malware.

Curiosamente sembra che i pacchetti malevoli contengano sostanzialmente contenuti soft-porn o pornografici: Nella galleria di immagini nel report si possono infatti notare svariate donne e studentesse decisamente abbondanti di seno, loli, donne con vestiti decisamente attillati, palesi ritagli da opere erotiche o pornografiche e personaggi da qualche gatcha game cinese sconosciuto.

Secondo Kaspersky dietro gli attacchi non c'è un singolo gruppo ma diversi attori indipendenti, non limitati ad una sola famiglia di malware. In diversi casi Kaspersky ha notato, oltre al già citato DarkKomet, anche la diffusione dei malware per il furto di credenziali Lumma e Vidar, oltre che il loader RedEngine. Maggiori informazioni sono disponibili in un report su Securelist.

Coloro che utilizzano o hanno utilizzato Wallpaper Engine dovrebbero prestare molta attenzione a cosa hanno scaricato ed eventualmente verificare il proprio sistema con un antivirus aggiornato per rilevare queste minacce: Già anche solo un avviso del proprio antivirus che trova dei file impossibili da scansionare perché protetti da password dovrebbe essere un campanello di allarme.