На прошлой неделе исследователи «Лаборатории Касперского» опубликовали разбор свежей кампании по распространению вредоносного ПО в Steam Workshop, встроенной в игровую платформу Steam мастерской для обмена пользовательским контентом. Для заражения пользователей злоумышленники используют программу Wallpaper Engine — это платная утилита для создания кастомных обоев рабочего стола. Возможности программы достаточно широки — от анимации и воспроизведения видео до запуска приложений. Именно этой особенностью и воспользовались организаторы атаки.
Исследователи наблюдали два варианта распространения вредоносного ПО под видом анимированных обоев. В самом простом варианте жертве доставлялся архив, внутри которого содержались и обещанные обои, и вредоносные файлы. Чуть более сложный метод предполагал распространение в уже запароленном архиве. К нему был приложен скрипт, который распаковывал архив и запускал вредоносную нагрузку автоматически. Обои публиковались в Steam Workshop с конца 2025 года. Авторы отчета обнаружили десятки вредоносных обоев, причем некоторые из них имели десятки тысяч скачиваний. Результат установки такого ПО ожидаемый: кража учетной записи Steam, установка вымогателя-шифровальщика и запуск криптомайнера.
После запуска вредоносного пакета в систему жертвы устанавливается файл-бэкдор, маскирующийся под драйвер тачпада (Synaptics.exe). Он относится к семейству вредоносных программ DarkKomet. Вместе с бэкдором также запускались эротическая игра NTRaholic и вредоносная библиотека AggregatorHost.dll, содержащая дополнительную вредоносную нагрузку.
Именно дополнительная библиотека отвечала за кражу учетной записи Steam. Данные сессии перехватывались и отправлялись на сервер организаторов атаки. В дальнейшем украденная учетка могла также использоваться для распространения вредоносных обоев в Steam Workshop. По данным «Лаборатории Касперского», абсолютное большинство попыток скачивания вредоносных программ из Steam Workshop приходится на Китай (89%), еще 5,5% инцидентов предотвращены в России. Все использованные в данной кампании варианты вредоносного кода надежно выявляются и блокируются защитными решениями «Лаборатории Касперского».
На момент публикации отчета все обнаруженные вредоносные обои рабочего стола удалены из Steam Workshop. Данная атака не в первый раз эксплуатирует возможности Steam Workshop. В феврале этого года один из популярных модов для игры People Playground также содержал вредоносный код. Можно также провести определенные параллели между этой атакой и недавними успешными попытками эксплуатации публичных репозиториев ПО, таких как AUR для дистрибутива Arch Linux и NPM. Целевая аудитория этих атак может отличаться, но есть и общие черты. К сожалению, можно сделать вывод, что любая площадка с возможностью распространения исполняемых программ и с минимальными средствами контроля рано или поздно будет атакована злоумышленниками.
Что еще произошло
Еще одно исследование «Лаборатории Касперского» разбирает так называемую атаку PhantomRPC — это новая методика повышения привилегий через механизм межпроцессного взаимодействия (IPC) в Windows.
Компания Apple закрыла уязвимость в наушниках Beats Studio Buds. О данной проблеме стало известно год назад из исследования специалистов немецкой компании ERNW. Они выяснили, что в Bluetooth-модулях тайваньской компании Airoha Technology реализован проприетарный отладочный протокол, который обеспечивает широчайшие возможности для потенциальной атаки, включая чтение данных и даже полную перезапись внутренней прошивки. Таким образом потенциальный злоумышленник способен, находясь в зоне радиовидимости, полностью перехватить контроль над наушниками. Помимо наушников Beats, уязвимости подвержены популярные TWS и полноразмерные наушники Sony, модель Marshall Major, JBL Live Buds и другие. Примечательно, что наушники, выпускающиеся под собственным брендом Apple (а не от имени приобретенной ранее компании Beats), вовсе не подвержены проблеме, так как используют собственное «железо» компании.
Ряд уязвимостей, включая две критические, закрыты внеочередным патчем в веб-сервере Nginx.
Исследователи из компании Zimperium обнаружили новую вредоносную программу для Android, названную Rokarolla. Она распространяется под видом дистрибутивов для установки популярных мессенджеров и направлена на кражу информации из более чем двух сотен банковских приложений, а также программ для управления криптокошельками.
Зафиксирован еще один случай использования мессенджера Microsoft Teams для передачи вредоносного трафика. В данном примере вредоносная кампания DragonForce задействовала так называемый TURN-протокол, в норме предназначенный для работы с клиентами, прямое подключение к которым невозможно. Организаторы атаки получали специальный токен, который позволял им пользоваться легитимными TURN-серверами Microsoft и через них обеспечивать связь вредоносного ПО с командным сервером.
Уязвимость в контроллере Synopsys позволила сломать защиту Secure Boot для устройств Apple с процессорами A12 и A13. Это аппаратная проблема, пропатчить которую невозможно, и, соответственно, она открывает возможности для джейлбрейка данных устройств. В список подверженных смартфонов и планшетов входят iPhones 11, SE второго поколения, XS и XR, iPad Air третьего поколения и обычный iPad восьмого поколения.
Новая кампания по кибервымогательству, получившая название Prinz Eugen, имеет две интересных особенности. Во-первых, шифрованию на компьютере жертвы подвергаются прежде всего недавно измененные файлы. Во-вторых, вредоносный код не оставляет на ПК записки с требованием выкупа. Пострадавшим организациям, видимо, предлагается самостоятельно найти сайт группировки в даркнете и установить связь.
