Saldırganlar, ziyanlı yazılımları masaüstü duvar kâğıdı üzere göstererek Steam Workshop üzerinden dağıtıyor; bu da kullanıcı hesaplarının ele geçirilmesine ve ek berbat emelli yazılımların yüklenmesine yol açıyor.
Kaspersky araştırmacıları, Steam Workshop’u ve hareketli masaüstü duvar kâğıtları oluşturup paylaşmak için yaygın olarak kullanılan Wallpaper Engine uygulamasını berbata kullanan etkin bir ziyanlı yazılım dağıtım kampanyasını ortaya çıkardı. Uzmanlar, halihazırda binlerce sefer indirilmiş birden fazla enfekte duvar kağıdı paketi tespit etti. Kampanya öncelikli olarak Çin ve Rusya’daki Steam kullanıcılarını amaç alırken, Singapur, Hong Kong, Almanya, Vietnam, Hindistan ve Kanada’da da mağdurlar tespit edildi. Saldırganların temel gayesinin oyuncu hesaplarını ele geçirmek ve sistemlere ek ziyanlı yazılımlar yüklemek olduğu belirtildi.
Steam Workshop, kullanıcıların modlar, özel haritalar, oyun içi öğeler ve duvar kâğıtları üzere topluluk tarafından oluşturulan içerikleri kolaylıkla bulmasına, yüklemesine ve yönetmesine imkan tanıyan yerleşik bir Steam özelliği olarak hizmet veriyor. Wallpaper Engine uygulaması ise görüntüler, etkileşimli sahneler, web sayfaları ve direkt uygulamalar dahil olmak üzere çeşitli duvar kağıdı formatlarını destekliyor.
Uygulama tabanlı duvar kağıdı özelliği, çalıştırılabilir programların direkt kullanıcının Windows bilgisayarında çalışmasına imkan tanıyor; saldırganlar da bu açıklıktan faydalanarak yasal içerik süsü verdikleri berbat gayeli yazılımları yayıyor. Kaspersky, Steam Workshopüzerinden erişilebilen onlarca enfekte duvar kağıdı paketi saptadı. Bu paketlerin birçoğunun binlerce, hatta on binlerce sefer indirildiği belirlendi.
Saldırganların ziyanlı yükleri ulaştırmak için iki temel formül kullandığı görüldü. Kimi olaylarda berbat gayeli çalıştırılabilir belgeler, DLL’ler ve betikler (script) direkt duvar kağıdı paketine dahil edilirken; kimilerinde ise ziyanlı yazılımların şifreli arşiv evraklarının (ZIP/RAR vb.) içine gizlendiği, bu şifrelerin ise arşiv isimlerine yahut yapılandırma belgelerine gömüldüğü tespit edildi. Duvar kağıdı yüklendiği anda, arka plandaki ziyanlı içerikler otomatik olarak faaliyete geçiyor.
Örneğin, Aralık 2025’te tespit edilen ziyanlı bir duvar kağıdı örneği, birinci bakışta büsbütün olağan çalışıyor ve rastgele bir güvenlik ihlali belirtisi göstermeksizin gömülü bir masaüstü oyununu başlatıyordu. Fakat arka planda, sisteme DarkKomet arka kapısını (backdoor) yerleştiriyor ve Steam kullanıcılarını amaç almak üzere tasarlanmış modifiye edilmiş bir kütüphane yüklüyordu; bu kütüphane aracılığıyla hesap bilgileri toplanıyor ve etkin Steam oturumları ele geçiriliyordu.
Steam üzerinde tespit edilen ziyanlı duvar kâğıdı paketlerinden örnekler
Saldırıların tek bir küme yerine birden fazla bağımsız tehdit aktörü tarafından gerçekleştirildiği ve tek bir ziyanlı yazılım ailesiyle sonlu olmadığı bedellendiriliyor. Kaspersky, farklı hadiselerde ziyanlı duvar kâğıtları aracılığıyla Lumma ve Vidar bilgi hırsızı yazılımlarının (infostealer) yanı sıra RenEngine yükleyicisinin dağıtıldığını tespit etti. Kaspersky’nin güvenlik tahlilleri, bu kampanyayla bağlantılı tüm ziyanlı yazılımları algılıyor ve engelliyor.
Kaspersky siber güvenlik uzmanı Maxim Starodubov, hususa ait yaptığı açıklamada şunları söyledi: “Güvenilir platformlar da ziyanlı yazılım dağıtımı için berbata kullanılabilir. Bu akınlar, kullanıcıların legal ekosistemlerde barındırılan içeriklere duyduğu inançtan yararlanıyor. Kullanılan ziyanlı yazılım ailelerinin birden fazla uzun müddettir bilinse de, dağıtım usulü saldırganların görünüşte zararsız içerikler aracılığıyla çok sayıda potansiyel kurbana ulaşmasını sağlıyor.”
Konuya dair detaylı rapora Securelist üzerinden erişilebilirsiniz.
Kaspersky, kullanıcıların şu tedbirleri almasını öneriyor:
- Güvenilir kaynaklardan bile olsa rastgele bir uygulama indirirken her vakit temkinli olun.
- Topluluk tarafından üretilen içerikleri (UGC) yüklemeden evvel içerik üreticilerinin prestijini ve güvenilirliğini doğrulayın.
- Tehditleri tespit etmek için muteber ve kanıtlanmış siber güvenlik çözümlerinden yararlanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
