Malware su Steam Workshop: il rischio degli sfondi infetti

6 views

Recentemente, un gruppo di ricercatori di sicurezza ha trovato contenuti infetti da malware su Steam Workshop, in particolare tra i cosiddetti application wallpaper. Steam Workshop…

Marcello LegaLug 10, 202611 min di lettura

Recentemente, un gruppo di ricercatori di sicurezza ha trovato contenuti infetti da malware su Steam Workshop, in particolare tra i cosiddetti application wallpaper.

Steam Workshop è la piattaforma di Steam dedicata ai contenuti della community, come mod, mappe, skin, sfondi e altri componenti aggiuntivi. Gli utenti possono caricare, condividere e, in alcuni casi, monetizzare i propri contenuti.

Il problema riguarda alcuni sfondi creati con Wallpaper Engine, un’app che permette di usare wallpaper animati e interattivi sul desktop. Alcuni di questi contenuti, a quanto pare, includevano malware o scaricavano componenti dannosi dopo l’installazione.

Questo non significa che Steam sia una piattaforma pericolosa o che Wallpaper Engine diffonda malware. In questo post facciamo chiarezza: vediamo quali contenuti richiedono più attenzione, come funzionano questi attacchi e come usare Steam Workshop in modo più sicuro.

In questo articolo:

  • Malware su Steam Workshop: cosa è successo
  • Perché alcuni wallpaper possono diffondere malware
  • Cosa sono gli application wallpaper
  • Come funzionano gli attacchi
  • Quali malware si nascondono negli sfondi infetti
  • Come proteggersi dai malware su Steam
  • Domande frequenti

Malware su Steam Workshop: cosa è successo

Steam Workshop è la piattaforma di Steam dedicata ai contenuti della community, come mod, mappe, skin, sfondi e altri componenti aggiuntivi. Gli utenti possono caricare, condividere e, in alcuni casi, monetizzare i propri contenuti.

Tra questi contenuti degli utenti, ci sono anche gli sfondi per desktop, che oggi non sono solo immagini statiche, ma anche animazioni, video e perfino applicazioni interattive, come quelle create con l’app Wallpaper Engine.

In questo caso, però, alcuni wallpaper caricati sulla piattaforma contenevano codice dannoso o componenti che scaricavano malware dopo essere stati installati.

Un gruppo di ricercatori di sicurezza informatica ha trovato decine di wallpaper malevoli su Steam Workshop. I contenuti erano presentati come normali sfondi, ma in realtà potevano distribuire vari tipi di malware, come backdoor, infostealer, miner, loader e ransomware. Tra le famiglie di malware citate dai ricercatori ci sono DarkKomet, Lumma, Vidar e RenEngine.

Secondo le ricostruzioni, Valve (l’azienda che possiede e gestisce Steam) ha rimosso i wallpaper infetti dopo la segnalazione. Purtroppo, però, questo riduce il rischio immediato, ma non elimina il problema alla radice. Le piattaforme di contenuti caricati o generati dagli utenti sono più esposte alla presenza di malware e minacce, e ogni giorno nuovi file malevoli possono essere pubblicati con altri nomi o account.

Perché alcuni wallpaper possono diffondere malware

Per capire l’attacco bisogna partire da una distinzione importante: non tutti gli sfondi sono uguali. Uno sfondo (in inglese wallpaper) tradizionale è un’immagine, per esempio un file JPG o PNG. Il sistema la mostra sul desktop e basta, senza eseguire codice, interagire con l’utente o scaricare altri contenuti da internet.

Wallpaper Engine, invece, permette di usare wallpaper molto più avanzati: scene animate, video, contenuti web e application wallpaper, cioè applicazioni eseguite come sfondo. È proprio questa flessibilità a renderli interessanti per milioni di utenti, soprattutto tra i gamer e gli appassionati di personalizzazioni e mod.

Il rovescio della medaglia, però, è che alcuni tipi di wallpaper sono più vicini a un programma che a una semplice immagine. Possono contenere script, componenti eseguibili e addirittura file aggiuntivi. In condizioni normali, questi elementi consentono di creare sfondi più avanzati e divertenti, come orologi dinamici, visualizzatori musicali ed elementi cliccabili e interattivi.

Il problema si presenta quando un criminale informatico carica un wallpaper che contiene codice malevolo: l’utente può installarlo pensando di scaricare solo un elemento decorativo, ma in realtà, insieme allo sfondo può essere eseguito anche codice dannoso.

Questo processo è pericoloso proprio perché sfrutta la fiducia degli utenti nella community e nella piattaforma. Steam è molto conosciuta, Wallpaper Engine è un’app legittima e lo sfondo sembra un contenuto innocuo. Con queste tre premesse, molti utenti non controllano altro e si fidano di ciò che trovano e scaricano.

Come funzionano gli attacchi

Gli attacchi rilevati dai ricercatori si basano sul fatto che l’utente installa volontariamente il wallpaper, convinto di scaricare un contenuto normale e affidabile.

Vediamo come funziona un attacco tramite Steam Workshop:

  1. Distribuzione: l’attaccante carica un application wallpaper apparentemente normale, spesso con un aspetto attraente per il pubblico dei gamer: temi anime, fantasy, cyberpunk con animazioni o effetti visivi curati.
  2. Accesso: l’utente trova il wallpaper, lo scarica tramite Steam Workshop e lo apre con Wallpaper Engine. Dal suo punto di vista, l’operazione sembra normale: ha scelto uno sfondo e lo sta applicando al desktop.
  3. Infezione: nel pacchetto, però, può esserci altro. In alcuni casi il malware era incluso direttamente nel contenuto scaricato. In altri, era nascosto in archivi protetti da password o veniva attivato attraverso componenti collegati al wallpaper.

Questa tecnica ha diversi vantaggi per gli attaccanti, innanzitutto perché maschera il malware dentro un contenuto che non viene percepito come pericoloso. Molti utenti sono abituati a diffidare di file eseguibili ricevuti via email, ma non applicano la stessa cautela a uno sfondo scaricato da una piattaforma conosciuta.

In secondo luogo, sfrutta la distribuzione della community. Se un wallpaper sembra interessante, può essere condiviso, scaricato e consigliato da molti altri utenti. In questo modo il contenuto malevolo può raggiungere molte persone senza bisogno di campagne di phishing tradizionali.

Infine, gli attaccanti possono cambiare approccio nel tempo. Un wallpaper può contenere direttamente il payload, oppure può funzionare come primo stadio: entra nel sistema e poi scarica da internet il malware vero e proprio. Questo rende la minaccia più flessibile e più difficile da bloccare in modo definitivo.

Quali malware si nascondono negli sfondi infetti

I malware distribuiti tramite questi wallpaper non hanno tutti lo stesso obiettivo. Alcuni servono a rubare dati, altri a prendere il controllo del sistema, altri ancora a usare le risorse del computer.

Tra i rischi principali ci sono gli infostealer. Si tratta di malware progettati per rubare informazioni dal dispositivo infetto: password salvate nel browser, cookie di sessione, credenziali di Steam o di Discord, e perfino i dati delle carte di credito salvati sul dispositivo.

Per un gamer, questo può significare perdere l’accesso all’account Steam, agli oggetti dell’inventario o ai metodi di pagamento collegati.

Poi ci sono le backdoor, cioè malware che permettono agli attaccanti di mantenere un accesso remoto al computer. Una backdoor può essere usata per eseguire comandi, installare altri malware, spiare l’attività dell’utente o trasformare il dispositivo in parte di una rete controllata da criminali (botnet).

Un altro rischio sono i miner di criptovalute. In questo caso, il malware usa la potenza del PC per generare criptovalute a vantaggio degli attaccanti. L’utente può accorgersene perché il computer rallenta, le ventole girano più del normale, la temperatura sale e il consumo energetico aumenta.

I loader, invece, sono malware usati come porta d’ingresso. Non sempre fanno danni visibili da soli, ma servono a scaricare e installare altre minacce. Sono particolarmente pericolosi perché possono cambiare payload nel tempo: oggi installano un infostealer, domani un ransomware.

Il ransomware è lo scenario più grave per l’utente comune: cripta i file e chiede un riscatto per ripristinarli. Anche se non è detto che ogni campagna arrivi a questo livello, il fatto che tra i payload osservati compaiano anche ransomware rende il caso molto serio.

In sintesi, uno sfondo infetto può portare a conseguenze molto diverse. Compromissione dell’account di Steam, furto delle password, rallentamento del PC, installazione di altri malware e perdita dei file.

Come proteggersi dai malware su Steam

Il primo consiglio è non farsi prendere dal panico. Diciamolo chiaramente: Steam Workshop e Wallpaper Engine non sono pericolosi. Il punto è fare più attenzione quando scarichi contenuti creati dagli utenti, soprattutto se sono interattivi o funzionano come applicazioni.

Vediamo alcuni consigli di sicurezza per Steam Workshop:

  • Controlla l’autore, prima di installare il wallpaper. Un creator con una lunga cronologia, molti contenuti legittimi e commenti credibili è generalmente più affidabile di un account nuovo o con pochi elementi pubblicati.
  • Le recensioni e i commenti possono aiutare, ma non vanno considerati una garanzia assoluta. Un contenuto malevolo può restare online per un certo periodo prima che qualcuno se ne accorga. Inoltre, alcuni commenti possono essere generici, falsi o riferiti a versioni precedenti del wallpaper.
  • Attenzione al tipo di wallpaper. Un’immagine statica o un video sono, in generale, meno rischiosi di un application wallpaper che può eseguire codice. Questo non significa che tutti gli sfondi interattivi e che contengono codice siano pericolosi, ma che meritano più prudenza.
  • Aggiorna regolarmente Wallpaper Engine e l’app di Steam. Gli aggiornamenti possono correggere vulnerabilità, migliorare i controlli e ridurre il rischio di abuso della piattaforma.
  • Usa un antivirus con analisi comportamentale. Le soluzioni di sicurezza moderne e avanzate, come Panda Dome, riconoscono comportamenti e file sospetti anche se non sono presenti nel database di minacce conosciute e li bloccano in tempo reale, prima che possano danneggiare il dispositivo.
  • Attiva Steam Guard per proteggere l’account Steam e imposta anche l’autenticazione a due fattori. Questi strumenti aggiungono una barriera difensiva in più che rende molto più complicati gli accessi non autorizzati.
  • Attenzione ai campanelli di allarme. Impara a riconoscere i segnali sospetti: accessi non riconosciuti, messaggi inviati da soli, modifiche all’inventario, scambi non autorizzati, improvvisi rallentamenti del PC, ventole sempre attive, finestre strane o programmi sconosciuti in esecuzione.

Tutti questi comportamenti anomali possono indicare la presenza di un malware sul dispositivo. Se li noti dopo aver installato un application wallpaper, elimina lo sfondo, esegui una scansione antivirus completa e controlla se il problema persiste.

La regola generale è semplice: anche se una piattaforma è sicura, i contenuti condivisi su di essa possono essere infetti o dannosi, soprattutto se la moderazione è affidata alla community.

Domande frequenti sui malware nascosti su Steam Workshop

Steam Workshop è sicuro?

Steam Workshop è una piattaforma affidabile e molto usata, ma ospita contenuti caricati dagli utenti. Questo significa che non tutto ciò che viene pubblicato dalla community è automaticamente sicuro. Il rischio aumenta quando il contenuto non è una semplice immagine o una mod passiva, ma può eseguire codice.

Wallpaper Engine è un’app pericolosa?

No, Wallpaper Engine di per sé non è un malware o una minaccia informatica. Il problema riguarda l’abuso di alcune sue funzioni, in particolare i wallpaper più avanzati che possono comportarsi come applicazioni. Gli attaccanti hanno sfruttato questa possibilità per nascondere o distribuire malware dentro wallpaper apparentemente innocui.

Uno sfondo animato può contenere malware?

Sì, soprattutto se non è solo un’immagine o un video, ma un contenuto interattivo o un application wallpaper. Se uno sfondo può eseguire codice, può anche essere manipolato per avviare file dannosi o scaricare malware da internet.

Cosa sono gli application wallpaper?

Sono wallpaper che funzionano come piccole applicazioni. Possono mostrare elementi interattivi, reagire ai clic, aggiornare contenuti in tempo reale o integrare funzioni più avanzate rispetto a una semplice immagine. Proprio perché possono eseguire codice, bisogna fare più attenzione quando li scarichiamo.

Cosa devo fare se ho scaricato un wallpaper sospetto?

Rimuovi subito il wallpaper, esegui una scansione antivirus completa del computer, aggiorna il sistema e cambia le password più importanti da un dispositivo sicuro. Controlla anche le sessioni attive di Steam e di Discord, e revoca gli accessi che non riconosci.

Devo disinstallare Wallpaper Engine?

Non necessariamente. Il problema non è l’app in sé, ma i contenuti malevoli caricati da alcuni utenti. Se usi Wallpaper Engine, la cosa più importante è scegliere con attenzione i wallpaper, evitare contenuti sospetti e mantenere il PC protetto con un buon software antimalware.

CONTINUA A LEGGERE: 8 nuove tendenze di cybersecurity: minacce emergenti e come difendersi

Autore

  • author-marcello-lega

    Giornalista e traduttore con oltre 18 anni di esperienza in tecnologia e cybersecurity. Scrive contenuti su privacy online, minacce digitali e sicurezza informatica, con l’obiettivo di rendere questi temi chiari e utili per tutti.

    Ha conseguito il Google Cybersecurity Certificate. Per Panda Security, realizza articoli che aiutano gli utenti a proteggere la propria vita digitale.