Siber güvenlik şirketi Kaspersky, Steam Workshop üzerinden yayılan bazı Wallpaper Engine içeriklerinde kötü amaçlı yazılım tespit ettiğini duyurdu. Şirketin pazartesi günü yayımladığı rapora göre saldırganlar, çoğu animasyonlu masaüstü duvar kağıdı gibi görünen dosyaları kullanarak kullanıcıların Steam hesap bilgilerini ele geçirmeyi, aktif oturumları devralmayı ve ek zararlı yazılımlar yüklemeyi hedefledi.
Steam Workshop üzerinden yayıldığı aktarıldı
Raporda, zararlı içeriklerin özellikle kadın anime karakterleri temalı hareketli duvar kağıtları gibi gösterildiği belirtildi. Kaspersky, Wallpaper Engine’in uygulama tabanlı duvar kağıdı özelliğinin Windows bilgisayarlarda çalıştırılabilir programların doğrudan devreye girmesine imkan tanıdığını, bunun da saldırganlara meşru içerik görünümü altında zararlı yazılım dağıtma alanı açtığını bildirdi.
Kaspersky, Steam Workshop üzerinde bulaştırılmış onlarca duvar kağıdı paketinin tespit edildiğini, bu paketlerin bir kısmının binlerce hatta on binlerce kez indirildiğini açıkladı.
Şirkete göre bazı duvar kağıtları zararlı yazılımı doğrudan içerirken, bazıları ise bunu parola korumalı arşivler içine gizledi. Bu dosyaların kurulumdan sonra açıldığı belirtildi. Kaspersky, 2025 yılında tespit edilen bir örnekte bir duvar kağıdının kullanıcıya meşru bir masaüstü oyunu başlatıyormuş gibi göründüğünü, arka planda ise DarkKomet arka kapısını yüklediğini aktardı.
Hedefte hesap bilgileri ve cüzdan verileri vardı
Araştırmada Lumma ve Vidar gibi bilgi çalan zararlı yazılım ailelerinin yanı sıra RenEngine yükleyicisinin de kullanıldığı ifade edildi. Bu yazılımların genellikle kullanıcı adı ve parola bilgileri, tarayıcı verileri ve kripto para cüzdanı bilgilerini toplamak için kullanıldığı biliniyor. Kaspersky araştırmacıları, faaliyetin tek bir grup yerine birden fazla tehdit aktörünü işaret ettiğini değerlendirdi.
Mini sözlük: Infostealer, bilgisayardaki giriş bilgileri, tarayıcı kayıtları ve dijital cüzdan verileri gibi hassas bilgileri toplamak için tasarlanan zararlı yazılım türünü ifade eder. Lumma ve Vidar, bu alanda sık anılan iki farklı zararlı yazılım ailesidir.
Kaspersky verilerine göre mağdurların önemli bölümü Çin ve Rusya’da bulundu. Bununla birlikte Singapur, Hong Kong, Almanya, Vietnam, Hindistan ve Kanada’da da bulaşma vakaları gözlendi.
Steam bağlantılı vakaların sayısı artıyor
Kaspersky araştırmacısı Maxim Starodubov, saldırıların temelinde kullanıcıların güvenilir platformlardaki içeriklere duyduğu güvenin yer aldığını söyledi. Araştırmacıya göre kullanılan zararlı yazılım ailelerinin birçoğu uzun süredir biliniyor, ancak dağıtım yöntemi saldırganların zararsız görünen içerikler üzerinden geniş bir kullanıcı kitlesine ulaşmasını kolaylaştırıyor.
Maxim Starodubov, güvenilir platformların da kötüye kullanılabildiğini, saldırıların meşru ekosistemler içinde barınan içeriklere duyulan güvenden yararlandığını ve bu yöntem sayesinde saldırganların çok sayıda potansiyel kullanıcıya ulaşabildiğini belirtti.
Bulgular, Steam bağlantılı benzer olayların son dönemde arttığına işaret ediyor. Temmuz 2025’te siber güvenlik şirketi Prodaft, Steam Early Access kapsamındaki Chemia oyununun Hijack Loader, Fickle Stealer ve Vidar Stealer dağıtmak için kötüye kullanıldığını bildirmişti. Mart ayında ise FBI, aralarında Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara ve Tokenova’nın da bulunduğu çeşitli Steam oyunları üzerinden yayılan zararlı yazılımlarla ilgili soruşturma başlatıldığını açıklamıştı.
Aynı metinde yer alan ayrı bir araştırma ise yapay zeka destekli, ağ içinde kendi başına yayılabilen uyarlanabilir bilgisayar solucanlarına dikkat çekti. Toronto Üniversitesi, Vector Institute, Cambridge Üniversitesi ve ServiceNow araştırmacılarının hazırladığı çalışmada, güvenlik açıklarını tespit edebilen, hedefe göre saldırı yolu oluşturabilen ve kendini ağ boyunca çoğaltabilen kavramsal bir yapay zeka solucanı tanımlandı.
