Tin tặc núp bóng hình nền để cướp tài khoản Steam

Ngày 18/6, Kaspersky xác nhận hàng chục gói hình nền trên Steam Workshop bị cài cắm mã độc, nhắm vào tài khoản game của người dùng tại nhiều quốc gia, trong đó có Việt Nam. Chỉ một thao tác tải hình nền thông thường, người dùng có thể vô tình mở cửa cho tin tặc xâm nhập thiết bị và đánh cắp tài khoản.

Steam Workshop là nơi hàng triệu game thủ toàn cầu chia sẻ mod, bản đồ tùy chỉnh và hình nền động qua ứng dụng Wallpaper Engine. Nhưng chính sự phổ biến và mức độ tin tưởng cao mà cộng đồng dành cho nền tảng này đang bị khai thác. Kaspersky xác định, hàng chục gói hình nền bị cài cắm mã độc, nhiều gói ghi nhận hàng nghìn, thậm chí hàng chục nghìn lượt tải xuống.

Số lượt tải xuống hình nền bị mã nhiễm độc trên ứng dụng của từng quốc gia.

Điểm mấu chốt nằm ở tính năng hình nền dạng ứng dụng của Wallpaper Engine - cho phép các chương trình chạy trực tiếp trên máy tính Windows. Tin tặc lợi dụng kẽ hở này bằng hai phương thức: Nhúng thẳng tệp thực thi độc hại, thư viện DLL và tập lệnh vào gói hình nền; hoặc giấu mã độc trong tệp nén có mật khẩu bảo vệ - mật khẩu được chèn sẵn vào tên tệp để tự giải nén và kích hoạt sau khi cài đặt.

Ví dụ, một mẫu hình nền độc hại được phát hiện vào tháng 12/2025 ban đầu vẫn hoạt động hoàn toàn bình thường, thậm chí còn khởi chạy một trò chơi mini được tích hợp sẵn trên màn hình nền mà không có bất kỳ dấu hiệu bất thường nào. Tuy nhiên, ở chế độ nền, hình nền này âm thầm triển khai mã độc cửa hậu DarkKomet và cài đặt một thư viện đã bị chỉnh sửa nhằm nhắm mục tiêu vào người dùng Steam. Mã độc này có khả năng thu thập thông tin tài khoản và chiếm quyền các phiên đăng nhập Steam đang hoạt động.

Mục tiêu chính của chiến dịch là người dùng tại Trung Quốc và Nga, song danh sách nạn nhân còn kéo dài sang Singapore, Hồng Kông, Đức, Việt Nam, Ấn Độ và Canada. Điều làm tình hình phức tạp hơn, đây không phải chiến dịch của một nhóm tin tặc duy nhất. Kaspersky nhận định, nhiều cá nhân và tổ chức đang thực hiện song song, sử dụng đa dạng các họ mã độc - từ Lumma và Vidar chuyên đánh cắp thông tin, đến trình tải mã độc RenEngine.

"Ngay cả những nền tảng đáng tin cậy cũng có thể bị lợi dụng để phát tán mã độc. Các cuộc tấn công này dựa trên niềm tin của người dùng đối với nội dung được lưu trữ trên những hệ sinh thái hợp pháp. Mặc dù phần lớn dòng mã độc được sử dụng đều đã được biết đến từ trước, cơ chế phát tán này vẫn giúp tin tặc tiếp cận số lượng lớn nạn nhân tiềm năng thông qua những nội dung tưởng chừng vô hại", ông Maxim Starodubov, chuyên gia an ninh mạng tại Kaspersky, nhận định.

Kaspersky khuyến nghị, người dùng thận trọng khi tải xuống bất kỳ nội dung nào dù từ nguồn được cho là đáng tin cậy; kiểm tra kỹ độ uy tín của nhà phát triển trước khi cài đặt nội dung cộng đồng; sử dụng giải pháp bảo mật uy tín để phát hiện và ngăn chặn mối đe dọa.

Theo baotintuc.vn