Des chercheurs de Kaspersky ont révélé une campagne de logiciels malveillants exploitant Wallpaper Engine via le Steam Workshop pour voler des comptes et des cryptomonnaies. Cette menace, détectée en juin 2026, utilise la fonction d’application pour dissimuler du code malveillant, touchant des dizaines de milliers d’utilisateurs à travers le monde.
L’exploitation de la fonction Application Wallpaper
Photo: Coinfomania
La vulnérabilité ne réside pas dans le logiciel Wallpaper Engine lui-même, mais dans l’utilisation détournée de sa fonctionnalité “Application Wallpaper”. Cette option permet aux créateurs d’intégrer des fichiers exécutables (.exe) ou des programmes légers, tels que des widgets ou des mini-jeux, directement dans un fond d’écran animé. Comme l’explique une analyse de TechHub, le système Steam Workshop ne dispose pas d’un contrôle assez strict sur l’exécution de ces codes tiers, créant une porte ouverte pour les attaquants.
Les pirates utilisent des méthodes de dissimulation sophistiquées, notamment en compressant des fichiers malveillants (.exe ou .dll) dans des dossiers ou en les cachant dans des fichiers ZIP protégés par mot de passe. Une fois le fond d’écran activé, le code s’exécute silencieusement en arrière-plan.
Le cas du mini-jeu NTRaholic
Photo: GamingDose
Les chercheurs ont testé un fond d’écran proposant un mini-jeu nommé NTRaholic pour comprendre le processus de contamination. Bien que le jeu fonctionne normalement sans éveiller de soupçons, l’analyse a révélé la présence de composants critiques :
Fichier malveillant : Synaptics.exe, identifié comme une porte dérobée (backdoor).
Famille de malware : DarkKomet, un logiciel conçu pour l’espionnage et le vol de données.
Composant additionnel : Installation automatique du fichier AggregatorHost.
Des cibles allant des comptes Steam aux actifs cryptographiques
Kaspersky discovers malware behind hacked Steam accounts
L’objectif principal de ces attaques est le vol d’identifiants et de données sensibles. Selon les rapports de GamingDose concernant les vulnérabilités de Kaspersky, certains fonds d’écran infectés ont déjà dépassé les 10 000 téléchargements. Cette campagne, qui a commencé à se manifester fin 2025, cible prioritairement les utilisateurs situés en Chine et en Russie.
Au-delà des simples comptes de jeux, la menace s’étend au secteur financier numérique. Une alerte émise par WuBlockchain le 19 juin 2026 souligne que les pirates utilisent Wallpaper Engine pour distribuer des malwares spécifiquement conçus pour dérober des cryptomonnaies. Cette évolution montre une volonté de cibler des utilisateurs peu méfiants sur des plateformes de divertissement pour accéder à des actifs à haute valeur.
La stratégie de suppression des fichiers par les attaquants
Pour échapper à la détection et limiter les traces numériques, les auteurs de ces attaques emploient une tactique de retrait rapide. Comme l’indique 4gamers.co.th, il a été observé que certains créateurs suppriment systématiquement leur contenu du Workshop une fois que le nombre de téléchargements atteint un certain seuil, souvent autour de 1 000 unités.
Cette méthode permet aux pirates de maximiser le nombre de victimes avant que les outils de sécurité ou les modérateurs de plateforme ne puissent réagir, tout en effaçant les preuves de l’existence du fichier infecté.
Mesures de protection pour les utilisateurs de Steam
Face à ce risque, la vigilance lors de la navigation dans le Steam Workshop est impérative. Les experts recommandent d’adopter plusieurs réflexes de sécurité pour minimiser l’exposition aux logiciels malveillants.
Utiliser les filtres de recherche : Évitez de télécharger des contenus classés dans la catégorie “Application”, car c’est là que se cachent la majorité des menaces.
Vérifier la réputation : Consultez toujours le profil du créateur et lisez les commentaires des autres utilisateurs avant toute installation.
Effectuer un scan complet : Si vous avez un doute, lancez une analyse complète de votre système avec un logiciel de protection à jour.
Sécuriser les comptes : En cas de suspicion d’infection, changez immédiatement vos mots de passe pour Steam, vos comptes Microsoft et vos services de paiement.
La sécurité des utilisateurs repose désormais sur une distinction claire entre les simples fichiers visuels et les éléments interactifs capables d’exécuter du code sur le système d’exploitation.
