Peneliti Kaspersky mengungkap kampanye penyebaran malware yang memanfaatkan Steam Workshop dan Wallpaper Engine, aplikasi populer di platform Steam yang digunakan untuk membuat serta membagikan wallpaper desktop animasi. Sejumlah paket wallpaper yang telah terinfeksi diketahui berhasil menarik ribuan unduhan, dengan sasaran utama pengguna Steam di China dan Rusia, serta korban lain yang tersebar di Singapura, Hong Kong, Jerman, Vietnam, India, dan Kanada.
Steam Workshop merupakan fitur bawaan Steam yang memungkinkan pengguna mencari, memasang, dan mengelola berbagai konten buatan komunitas, seperti mod, peta kustom, item permainan, hingga wallpaper. Sementara itu, Wallpaper Engine mendukung berbagai format wallpaper, mulai dari video, adegan interaktif, halaman web, hingga aplikasi.
Kaspersky menjelaskan bahwa fitur wallpaper berbasis aplikasi memungkinkan program yang dapat dieksekusi berjalan langsung di komputer Windows. Celah ini dimanfaatkan pelaku kejahatan siber untuk menyamarkan perangkat lunak berbahaya sebagai konten yang terlihat sah. Para peneliti menemukan puluhan paket wallpaper yang telah disusupi malware di Steam Workshop, dengan sebagian di antaranya telah diunduh ribuan hingga puluhan ribu kali.
Dalam aksinya, para pelaku menggunakan dua metode utama. Pertama, file berbahaya seperti executable, DLL, dan skrip dimasukkan langsung ke dalam paket wallpaper. Kedua, malware disembunyikan di dalam arsip yang dilindungi kata sandi, sementara kata sandi tersebut disisipkan pada nama arsip atau file konfigurasi. Setelah wallpaper dipasang, muatan berbahaya akan berjalan secara otomatis tanpa disadari pengguna.
Salah satu sampel yang ditemukan pada Desember 2025 memperlihatkan modus yang sulit dideteksi. Wallpaper tersebut tampak berfungsi normal dengan menjalankan game desktop yang disematkan. Namun di balik layar, aplikasi itu menyebarkan backdoor DarkKomet dan memasang pustaka modifikasi yang dirancang untuk menyerang pengguna Steam dengan mengumpulkan informasi akun serta membajak sesi Steam yang sedang aktif.
Kaspersky menilai serangan ini kemungkinan dilakukan oleh beberapa pelaku kejahatan siber yang berbeda, bukan berasal dari satu kelompok tunggal. Selain DarkKomet, para peneliti juga menemukan wallpaper berbahaya yang mendistribusikan infostealer Lumma dan Vidar, serta loader RenEngine. Seluruh ancaman tersebut telah terdeteksi dan diblokir oleh solusi keamanan Kaspersky.
“Platform tepercaya dapat disalahgunakan untuk mendistribusikan malware: serangan tersebut bergantung pada kepercayaan pengguna terhadap konten yang dihosting dalam ekosistem yang sah. Meskipun banyak kelompok malware yang terlibat sudah dikenal luas, mekanisme penyebarannya memungkinkan penyerang untuk menjangkau sejumlah besar calon korban melalui konten yang tampaknya tidak berbahaya,” ujar Maxim Starodubov, pakar keamanan siber di Kaspersky.
Seiring meningkatnya modus penyebaran malware melalui platform yang sah, Kaspersky mengimbau pengguna untuk lebih berhati-hati ketika mengunduh aplikasi atau konten buatan pengguna, termasuk dari sumber yang dianggap tepercaya. Pengguna juga disarankan memeriksa reputasi pembuat konten sebelum melakukan instalasi serta menggunakan solusi keamanan siber yang andal untuk mendeteksi berbagai ancaman digital.
