Attention sur Steam : des fonds d’écran animés installent des infostealers et ransomwares
Des fonds d’écran animés distribués via le Steam Workshop ont été utilisés par des cybercriminels pour propager des logiciels malveillants sur des milliers de machines. Un rapport de Kaspersky, daté du 16 juin 2026, évoque cette campagne exploitant l’application Wallpaper Engine.
Une fonctionnalité légitime transformée en vecteur d’infection
Parmi le catalogue de jeux et d’outils disponibles sur Steam, l’application Wallpaper Engine permet d’utiliser des fonds d’écran animés sur un ordinateur. Cependant, ces fonds d’écran peuvent également être porteurs de malwares capables de voler des identifiants.
Le rapport de Kaspersky révèle que cette campagne a été menée par l’intermédiaire du Steam Workshop, une plateforme communautaire intégrée à Steam, où les utilisateurs peuvent trouver et installer divers contenus, y compris des fonds d’écran.
Les attaquants ont détourné des fonds d’écran applicatifs, pouvant être activés via Wallpaper Engine, qui prend en charge plusieurs formats, tels que vidéos et applications. Kaspersky a identifié des dizaines de packages malveillants disponibles sur le Steam Workshop, certains ayant été téléchargés des milliers, voire des dizaines de milliers de fois.
Méthodes d’infection
Les chercheurs ont observé deux méthodes principales d’infection :
- Intégration de fichiers exécutables (EXE), de bibliothèques (DLL) et de scripts malveillants directement dans le package du fond d’écran.
- Malwares dissimulés dans des archives protégées par mot de passe, avec ce mot de passe inclus dans le nom de l’archive ou dans des fichiers de configuration, permettant une extraction automatique de la charge utile.
Une fois le fond d’écran installé, le malware s’exécute sur la machine Windows de la victime.
Malwares ciblant les utilisateurs de Steam
Le premier malware détecté, nommé DarkKomet, est une porte dérobée qui cible les utilisateurs de Steam pour collecter des informations de compte et détourner des sessions actives. D’autres malwares identifiés incluent les infostealers Lumma et Vidar, ainsi que le loader RenEngine, des mineurs de cryptomonnaies et des ransomwares.
Les chercheurs de Kaspersky notent que « ces attaques ont probablement été menées par plusieurs acteurs malveillants indépendants plutôt que par un seul groupe ».
En termes de victimes, les utilisateurs en Chine et en Russie ont été les plus touchés, suivis par des utilisateurs à Singapour, Hong Kong, en Allemagne, au Vietnam, en Inde et au Canada. La Chine représente à elle seule 89 % des tentatives de téléchargement malveillant détectées.
Moralité : n’installez pas de fonds d’écran animés.
Source : Kaspersky
