Kaspersky phát hiện hơn 10.000 hình nền Steam chứa mã độc
Với hàng nghìn lượt tải xuống, các gói hình nền độc hại trên Steam Workshop đang trở thành mối đe dọa lớn cho game thủ, đặc biệt tại Việt Nam. Kaspersky vừa phát hiện chiến dịch phát tán mã độc tinh vi này.
Mục lục
Vì sao tin tặc chọn hình nền Steam để phát tán mã độc?
Steam Workshop cho phép người dùng tải và cài đặt hình nền dạng ứng dụng, tạo điều kiện cho kẻ tấn công nhúng các tệp thực thi độc hại vào gói nội dung. Wallpaper Engine, một ứng dụng phổ biến trên Steam, hỗ trợ nhiều định dạng hình nền bao gồm video, cảnh tương tác, trang web và ứng dụng. Tính năng hỗ trợ hình nền dạng ứng dụng cho phép các chương trình chạy trực tiếp trên máy tính Windows, tạo kẽ hở để tin tặc phát tán phần mềm độc hại dưới vỏ bọc nội dung hợp Pháp.
Kaspersky đã phát hiện hàng chục gói hình nền bị nhiễm mã độc được đăng tải trên Steam Workshop. Nhiều gói trong số này ghi nhận hàng nghìn, thậm chí hàng chục nghìn lượt tải xuống, cho thấy mức độ lây lan đáng báo động của mối đe dọa này.
Các phương thức phát tán mã độc qua hình nền diễn ra như thế nào?
Kẻ tấn công sử dụng hai phương thức chính để phát tán mã độc. Cách thứ nhất là nhúng trực tiếp các tệp thực thi (tệp chương trình có thể chạy trực tiếp) độc hại, thư viện DLL (tệp chứa mã và dữ liệu dùng chung) và tập lệnh (chuỗi lệnh tự động thực hiện tác vụ) vào gói hình nền. Cách thứ hai, mã độc được giấu trong tệp nén có mật khẩu bảo vệ, trong đó mật khẩu được chèn sẵn vào tên tệp hoặc tệp cấu hình. Sau khi hình nền được cài đặt, mã độc sẽ tự động được kích hoạt và thực thi trên hệ thống của người dùng.
Một ví dụ điển hình là mẫu hình nền độc hại phát hiện vào tháng 12/2025. Ban đầu, hình nền này vẫn hoạt động bình thường và thậm chí khởi chạy một trò chơi mini tích hợp sẵn. Tuy nhiên, ở chế độ nền, mẫu hình nền này âm thầm triển khai mã độc cửa hậu (phần mềm độc hại tạo lối truy cập bí mật) DarkKomet. Nó cũng cài đặt thư viện đã bị chỉnh sửa nhằm thu thập thông tin tài khoản và chiếm quyền các phiên đăng nhập Steam đang hoạt động.
Kaspersky còn phát hiện các dòng mã độc đánh cắp thông tin khác như Lumma và Vidar, cũng như trình tải mã độc (chương trình tải và chạy mã độc khác) RenEngine được sử dụng trong chiến dịch này.
💬 “Ngay cả những nền tảng đáng tin cậy cũng có thể bị lợi dụng để phát tán mã độc.”, Maxim Starodubov, chuyên gia an ninh mạng Kaspersky
Trước mối đe dọa hiện hữu này, Kaspersky khuyến nghị người dùng cần đặc biệt thận trọng khi tải xuống bất kỳ ứng dụng nào, kể cả từ các nguồn được cho là đáng tin cậy. Việc kiểm tra độ uy tín và tính xác thực của nhà phát triển hoặc người tạo nội dung trước khi cài đặt là vô cùng cần thiết. Sử dụng các giải Pháp bảo mật uy tín sẽ giúp phát hiện và ngăn chặn hiệu quả các mối đe dọa tiềm tàng. Các giải Pháp bảo mật của Kaspersky hiện có khả năng phát hiện và ngăn chặn toàn bộ các loại mã độc liên quan đến chiến dịch này.
Theo Kaspersky




