Kaspersky Sicherheitslabor (Securelist) hat am 16. Juni einen Forschungsbericht veröffentlicht, aus dem hervorgeht, dass seit Ende 2025 kontinuierlich bösartige Hintergrundbilder im Wallpaper Engine Workshop auf Steam verbreitet werden. Es wurden bereits Dutzende infizierte Proben entdeckt, die jeweils mehrere tausend bis zehntausend Mal heruntergeladen wurden. Das Steam-Team hat die bestätigten bösartigen Hintergrundbilder inzwischen von der Plattform entfernt. Die Angreifer nutzen die Funktion „Anwendungstyp-Hintergrundbild“ von Wallpaper Engine – solche Hintergrundbilder sind im Wesentlichen eigenständig ausführbare Windows-Programme, in die die Angreifer Schadcode einbetten. Nach der Installation durch den Benutzer wird die Schadsoftware automatisch und im Hintergrund ausgeführt, ohne die normale Darstellung des Hintergrundbilds zu beeinträchtigen. Zu den bereits identifizierten Haupt-Schadprogrammen gehören die DarkKomet-Hintertür, die Infostealer Lumma und Vidar, der RenEngine-Lader sowie Ransomware und Kryptowährungs-Miner. Am Beispiel einer Probe, die als Desktop-Minispiel getarnt war: Nach dem Ausführen des Hintergrundbilds wird im Hintergrund Synaptics.exe (DarkKomet-Familie) entladen, gleichzeitig wird die System-DLL AggregatorHost.dll ersetzt, um aktive Steam-Sitzungen des Benutzers zu kapern. Anschließend werden die Kontodaten an den Server des Angreifers gesendet, und die gestohlenen Konten werden genutzt, um weitere bösartige Hintergrundbilder hochzuladen.
In Bezug auf die geografische Verteilung der Opfer stammen 89 % der von Kaspersky blockierten bösartigen Download-Anfragen aus China, gefolgt von Russland mit 5,5 %, Singapur (1,4 %), Hongkong (0,9 %), Deutschland (0,9 %) und Vietnam (0,9 %). Der künstlerische Stil und die Titel der Hintergrundbilder sind speziell auf chinesische Nutzer zugeschnitten. Die Forscher schließen daraus, dass die Angriffe derzeit hauptsächlich auf chinesische Nutzer abzielen, gehen jedoch davon aus, dass die Angreifer jederzeit ähnliche Methoden auf andere Regionen übertragen könnten. Da die verwendeten Schadprogramme stark fragmentiert sind, gehen die Forscher davon aus, dass es sich nicht um eine einzelne Hackergruppe handelt, sondern dass mehrere unabhängige Gruppen gleichzeitig denselben Kanal für die Verbreitung nutzen. Kaspersky empfiehlt, vor der Anwendung eines Hintergrundbilds aus dem Wallpaper Engine Workshop einen Virenscan durchzuführen und sich nicht vollständig auf die Überprüfungsmechanismen der Plattform zu verlassen.