Steam kullanıcıları, masaüstü duvar kağıdı gibi görünen ancak arka planda hesapları ele geçiren ve sistemlere ek zararlı yazılımlar bulaştıran bir siber saldırı kampanyasının hedefi haline geldi. Kaspersky araştırmacıları, Steam Workshop ve popüler Wallpaper Engine uygulaması üzerinden yayılan bu tehdidi ortaya çıkardı. Şimdiden binlerce kez indirilen enfekte duvar kağıdı paketleri tespit edilirken, başta Çin ve Rusya olmak üzere Singapur, Hong Kong, Almanya, Vietnam, Hindistan ve Kanada‘da da mağdurlar belirlendi.
Saldırganların Yöntemi: Meşru İçerik Maskesi
Steam Workshop, kullanıcıların modlar, haritalar ve duvar kağıtları gibi topluluk içeriklerine erişmesini sağlayan bir platform. Wallpaper Engine ise videolar, etkileşimli sahneler ve doğrudan uygulama çalıştırabilen duvar kağıdı formatlarını destekliyor. Saldırganlar, uygulama tabanlı duvar kağıdı özelliğini kullanarak çalıştırılabilir programları meşru içerik gibi gösterip dağıtıyor. Kaspersky, bu yöntemle yayılan onlarca enfekte paket tespit etti; bazıları on binlerce kez indirilmiş durumda.
Zararlı yazılımların dağıtımında iki ana teknik kullanılıyor: Bazı paketlerde kötü amaçlı çalıştırılabilir dosyalar, DLL’ler ve betikler doğrudan duvar kağıdına eklenirken, diğerlerinde zararlı yazılımlar şifreli arşivlerin (ZIP/RAR) içine gizleniyor. Şifreler arşiv adlarına veya yapılandırma dosyalarına gömülüyor. Duvar kağıdı yüklendiği anda arka planda zararlı içerik otomatik olarak devreye giriyor.
DarkKomet Arka Kapısı ve Bilgi Hırsızları
Aralık 2025’te tespit edilen bir örnekte, duvar kağıdı ilk bakışta normal çalışıyor ve bir masaüstü oyunu başlatıyordu. Ancak arka planda sisteme DarkKomet arka kapısını (backdoor) yerleştiriyor ve Steam kullanıcılarını hedef alan modifiye edilmiş bir kütüphane yüklüyordu. Bu kütüphane sayesinde hesap bilgileri toplanıyor ve aktif Steam oturumları ele geçiriliyordu.
Kaspersky, kampanyanın tek bir grup yerine birden fazla bağımsız tehdit aktörü tarafından yürütüldüğünü ve farklı zararlı yazılım ailelerinin kullanıldığını belirtiyor. Tespit edilen yazılımlar arasında Lumma ve Vidar bilgi hırsızı (infostealer) yazılımları ile RenEngine yükleyicisi yer alıyor. Kaspersky’nin güvenlik çözümleri bu zararlı yazılımların tümünü algılıyor ve engelliyor.
Uzman Görüşü: Güvenilir Platformlar da Tehdit Altında
Kaspersky siber güvenlik uzmanı Maxim Starodubov, konuyla ilgili şu değerlendirmeyi yaptı:
“Güvenilir platformlar da zararlı yazılım dağıtımı için kötüye kullanılabilir. Bu saldırılar, kullanıcıların meşru ekosistemlerde barındırılan içeriklere duyduğu güvenden yararlanıyor. Kullanılan zararlı yazılım ailelerinin çoğu uzun süredir bilinse de, dağıtım yöntemi saldırganların görünüşte zararsız içerikler aracılığıyla çok sayıda potansiyel kurbana ulaşmasını sağlıyor.”
Korunma Yolları ve Öneriler
Kaspersky, kullanıcıların bu tür tehditlere karşı şu önlemleri almasını öneriyor:
- Güvenilir kaynaklardan bile olsa herhangi bir uygulamayı indirirken temkinli olun.
- Topluluk tarafından üretilen içerikleri yüklemeden önce içerik üreticilerinin itibarını ve güvenilirliğini doğrulayın.
- Tehditleri tespit etmek için güvenilir siber güvenlik çözümlerinden yararlanın.
Kampanyayla ilgili detaylı rapora Securelist üzerinden erişilebiliyor. Kaspersky, bu saldırıların oyun topluluğu için ciddi bir tehdit oluşturduğunu ve kullanıcıların dikkatli olması gerektiğini vurguluyor.
Kaynak: Beyaz Haber Ajansı