Jakarta – Kaspersky menemukan puluhan wallpaper terinfeksi di Steam Workshop dan Wallpaper Engine yang diam-diam menjalankan malware pencuri akun di komputer korban.
Peneliti Kaspersky mengungkap adanya kampanye distribusi malware aktif yang menyasar pengguna Steam melalui wallpaper animasi yang diunggah ke Steam Workshop. Kaspersky tidak merinci jenis wallpaper yang terinfeksi, namun sebagian besar tangkapan layar yang dilaporkan menunjukkan wallpaper bergambar gadis anime.
Wallpaper berbahaya itu disebarkan melalui Wallpaper Engine, aplikasi populer di platform Steam yang memungkinkan pengguna memasang wallpaper desktop animasi dan interaktif. Dari hasil identifikasi, Kaspersky menemukan puluhan paket wallpaper terinfeksi, dengan sebagian di antaranya telah diunduh ribuan hingga puluhan ribu kali.
Sasaran utama kampanye serangan ini adalah pengguna Steam di China dan Rusia. Meski begitu, korban lain juga terdeteksi di Singapura, Hong Kong, Jerman, Vietnam, India, dan Kanada.
Para penyerang memanfaatkan celah pada format wallpaper berbasis aplikasi yang memungkinkan program dieksekusi langsung di komputer Windows pengguna. Ada dua metode serangan yang digunakan.
Pertama, file berbahaya dibundel langsung ke dalam paket wallpaper. Kedua, file disembunyikan dalam arsip berpassword dengan kata sandi yang ditanamkan di nama file atau konfigurasi.
Setelah wallpaper dipasang, muatan berbahaya berjalan otomatis di latar belakang. Salah satu sampel yang ditemukan pada Desember 2025 bahkan tampak berfungsi normal dan menampilkan game desktop kecil tanpa tanda mencurigakan.
Namun, di balik tampilannya, wallpaper itu diam-diam menginstal backdoor DarkKomet, mengumpulkan informasi akun Steam, dan membajak sesi login yang sedang aktif.
Kaspersky juga mendeteksi wallpaper lain yang menyebarkan infostealer Lumma dan Vidar, serta loader RenEngine. Dari temuan tersebut, para peneliti menyimpulkan serangan ini tidak berasal dari satu kelompok tunggal, melainkan beberapa pelaku kejahatan siber independen.
“Platform tepercaya dapat disalahgunakan untuk mendistribusikan malware. Serangan ini bergantung pada kepercayaan pengguna terhadap konten yang dihosting dalam ekosistem yang sah,” ujar Maxim Starodubov, pakar keamanan siber Kaspersky, dalam keterangannya, Senin (22/6).
Kaspersky mengimbau pengguna untuk tetap waspada saat mengunduh konten buatan pengguna, meski berasal dari platform resmi. Perusahaan juga meminta pengguna memverifikasi reputasi pembuat konten sebelum menginstal dan menggunakan solusi keamanan siber aktif.
