Kategorien
Anmelden Registrierung
IT WELT

CYBERKRIMINELLE HABEN AUF STEAM MITHILFE EINER SICHERHEITSLÜCKE IN DER WALLPAPER ENGINE SCHADCODE VERBREITET UND KONTEN GESTOHLEN

Dem Bericht von Kaspersky zufolge haben mehrere Hackergruppen gerne dieselbe Vorgehensweise angewandt; die meisten ihrer Opfer stammen aus China und Russland.
J.o.k.e.r
J.o.k.e.r
Cyberkriminelle haben auf Steam mithilfe einer Sicherheitslücke in der Wallpaper Engine Schadcode verbreitet und Konten gestohlen

Cyberkriminelle suchen ständig nach immer neuen Möglichkeiten, ihre Schadcodes zu verbreiten, mit denen sie an wichtige Daten, Benutzerkonten, Kryptowährungs-Wallets oder andere wertvolle Güter zu erbeuten, mit denen sie Gewinne erzielen können – sie können sogar Kryptowährungs-Mining-Algorithmen auf den angegriffenen Systemen installieren. Laut den Experten von Kaspersky ist kürzlich auch die Steam Wallpaper Engine zum Opfer von Cyberkriminellen geworden, denn über diese App wurden Gamer ins Visier genommen, die mit attraktiven Hintergrundbildern geködert wurden, wobei oft Inhalte mit Anime-Themen angeboten wurden.

Die Wallpaper Engine ist eine eigenständige externe Anwendung, die für 4,99 Dollar im Steam-Angebot erhältlich ist und von sehr vielen Nutzern verwendet wird: sie führt die Beliebtheitsskala unter den nicht spielbezogenen Inhalten an, sodass es verständlich ist, dass Cyberkriminelle begonnen haben, die darin liegenden Möglichkeiten auszuschöpfen. Die aktive Nutzerbasis von Wallpaper Engine liegt zwischen 93.000 und 114.000 Mitgliedern, und die Software selbst unterstützt vier verschiedene Arten von Hintergrundbildern. Einer davon nutzt eine separate ausführbare Datei, die im Hintergrund läuft – genau diese haben die Angreifer ins Visier genommen und über diese auch Zugriff auf Benutzerkonten erlangt.

Experten zufolge werden die Hintergrundbilder auf zwei verschiedene Arten an die Zielpersonen übermittelt. Bei der einen Methode befinden sich die EXE- oder DLL-Dateien sowie Skripte, die den Schadcode enthalten, zusammen mit den Hintergrundbilddateien in einem Paket, das der ahnungslose Nutzer erhält. Im anderen Fall wird der Schadcode in Form einer passwortgeschützten komprimierten Datei übermittelt, wobei das Passwort entweder im Namen der komprimierten Datei oder in einer JSON-Konfigurationsdatei enthalten ist, sodass ein Skript diese automatisch öffnen kann. Der Ablauf ist derselbe: Wenn der Nutzer das Hintergrundbild verwenden möchte, gelangt gleichzeitig auch der Schadcode auf das System.

Galerie öffnen

Den Experten von Kaspersky zufolge haben sie im vergangenen Dezember eine konkrete Probe untersucht, die nach dem Start eines kleineren Desktop-Spiels auf das System gelangte. Nach dem Start des Spiels installierte sich im Hintergrund Malware, die die als „DarkKomet“ bezeichnete Backdoor auf dem System hinter einem „Synaptics.exe“-Prozess versteckte und zudem eine modifizierte „AggregatorHost.dll“-Datei einspielte. Letztere ist normalerweise eine Systemdatei, die von den Angreifern so modifiziert wurde, dass sie das Steam-Verzeichnis auf dem jeweiligen System finden und die Benutzerdaten oder die Live-Sitzungsdaten des gerade angemeldeten Benutzers extrahieren konnte, die anschließend vom Schadcode an einen Remote-Server weitergeleitet wurden, wodurch die Kontrolle an die Angreifer überging. Durch die über die aktive Sitzung gewonnene Kontrolle können die Angreifer im Namen des jeweiligen Benutzers mit Schadcode infizierte Hintergrundbilder verbreiten; aus diesem Grund blieb die Verbreitung von Schadcode auch nach der Abschaltung einiger Dateien weiterhin aktiv.

Aktuellen Daten zufolge stammen 89 % der Downloads, die Schadcode enthalten, aus China, während Russland mit 5,5 % an zweiter Stelle steht. Einige Downloads erfolgten aus Deutschland, Indien, Vietnam, Singapur, Hongkong sowie sogar aus Kanada, was auf eine recht breite Verbreitung hindeutet. Unter den Schadcodes befanden sich Algorithmen zum Diebstahl von Informationen, Software zum Schürfen von Kryptowährungen sowie zahlreiche weitere Inhalte. Nach Ansicht von Experten wurde diese Methode nicht nur von einer Gruppe, sondern von mehreren unabhängigen Cyberkriminellen-Netzwerken genutzt.

Die gute Nachricht ist, dass das Steam-Team die Hintergrundbilder mit dem Schadcode sowie die darauf verweisenden Links bereits entfernt hatte, bevor der Bericht von Kaspersky veröffentlicht wurde. Untersuchungen zufolge tauchten die ersten Hintergrundbildpakete mit Schadcode im August 2025 auf, das heißt, sie haben ihre Opfer über einen ziemlich langen Zeitraum hinweg ausgenutzt. Experten empfehlen, dass jeder, der verdächtig erscheinende Hintergrundbild-Pakete heruntergeladen hat, diese sofort entfernt, anschließend das betreffende System mit einem Virenscanner überprüft und anschließend die letzten Aktivitäten seines Steam-Kontos zu überprüfen, um festzustellen, ob Cyberkriminelle dieses Konto möglicherweise zur Verbreitung von Schadcode missbraucht haben.

Tetszik a tartalom? Adj hozzá minket Google-ben kedvenc forrásaidhoz, hogy mindig megtalálj!
Für den Newsletter anmelden
Mit meiner Registrierung akzeptiere ich die Nutzungsbedingungen und die Datenschutzerklärung.

Wir empfehlen Ihnen gerne

    Tests

      Diesbezügliche Artikel

      Cyberkriminelle haben auf Steam mithilfe einer Sicherheitslücke in der Wallpaper Engine Schadcode verbreitet und Konten gestohlen

      Zurück zum Seitenanfang