#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rokarolla — это Android-троян для банковского мошенничества, нацеленный на более чем 200 финансовых и криптовалютных приложений, распространяющийся через вредоносные сайты, имитирующие легитимные приложения. Используя дроппер, имитирующий Google Play Protect, он получает обширный контроль через службы доступности Android, что позволяет ему выполнять различные команды для финансового мошенничества, включая кражу учетных данных и перехват коммуникаций. Его функции скрытности позволяют маскировать свое присутствие, отключать меры безопасности и поддерживать операционную эффективность за счет динамических обновлений C2.
-----

Rokarolla — это недавно выявленный Android-троян, представляющий серьезную угрозу для пользователей, поскольку он нацелен на широкий спектр более чем 200 финансовых и криптовалютных приложений. В основном распространяется через вредоносные сайты, маскирующиеся под легитимные приложения, это ВПО может выполнять обширные административные команды для управления зараженными устройствами. Оно использует 137 команд, предназначенных для содействия финансовому мошенничеству путем кражи конфиденциальной информации, такой как учетные данные экрана блокировки, списки контактов и SMS-сообщения.

ВПО использует дроппер, который имитирует Google Play Protect, обманывая пользователей и заставляя их разрешить установку основного полезного груза. Этот метод обходит меры безопасности Android, предоставляя Rokarolla доступ к критическим функциям устройства через службы Accessibility. После заражения троян связывается со своим сервером управления (C2) по защищенному каналу HTTPS для извлечения телеметрии устройства и поддержания операционной устойчивости посредством динамических обновлений C2.

Rokarolla обладает возможностью сбора учетных данных для разблокировки с устройства путем создания поддельных оверлеев, имитирующих легитимный экран блокировки Android, что позволяет эффективно перехватывать пользовательский ввод. Для дальнейшего поддержания контроля над устройством она развертывает несколько оверлеев и использует специальные возможности Android для мониторинга пользовательского интерфейса и его маппинга для будущей эксплуатации.

Вредоносное ПО также проникает в банковские и криптовалютные приложения, извлекая информацию об этих приложениях вместе с их рабочим статусом. При обнаружении целевого приложения оно загружает и отображает поддельную фишинговую страницу на основе HTML для извлечения конфиденциальных данных, таких как учетные данные банков. Кроме того, оно может захватывать контактную информацию WhatsApp путем анализа содержимого экрана, эксфильтровать SMS-сообщения и перехватывать телефонные звонки, чтобы предотвратить получение пользователями оповещений от своих банков.

Rokarolla использует команды для регистрации нажатий клавиш, извлечения текста с экрана и манипуляции буфером обмена для подмены критических данных без согласия пользователя. Вместо традиционных методов удалённого доступа к экрану он применяет механизм создания снимков для захвата скриншотов активности пользователя, что обеспечивает скрытый мониторинг.

Скрытность и закрепление являются ключевыми особенностями Rokarolla, поскольку он активно работает над отключением мер безопасности и маскировкой своего присутствия. ВПО может скрывать значок своего приложения, отключать звуки устройства и удалять уведомления, которые могут предупредить пользователя о его присутствии. Оно также удерживает экран устройства включенным неограниченно долго, чтобы обеспечить непрерывность своих мошеннических операций.

#ParsedReport #CompletenessHigh
15-06-2026

Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research

https://cloud.google.com/blog/topics/threat-intelligence/prc-targets-us-medical-research/

Report completeness: High

Actors/Campaigns:
Unc6508 (motivation: cyber_espionage)
Harvester

Threats:
Infinitered
Residential_proxy_technique

Victims:
Medical research institutions, Academic institutions, Military health institutions, Clinical providers, Health regulatory bodies, Public health organizations, Defense research organizations

Industry:
Education, Iot, Healthcare, Military

Geo:
China, Indo-pacific, Canada, American

TTPs:
Tactics: 6
Technics: 13

IOCs:
File: 3
IP: 1
Hash: 7

Soft:
Chrome, Gmail

Algorithms:
base64

Functions:
getcwd, php_uname, phpversion

Languages:
php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник UNC6508, связанный с Китаем, с сентября 2023 года атакует академические, медицинские и военные секторы Северной Америки, фокусируясь на уязвимостях в серверах REDCap. Они развернули собственное ВПО INFINITERED, которое собирает учетные данные для входа и обеспечивает скрытую эксфильтрацию данных, используя такие методы, как троянизация легитимных файлов и создание веб-оболочек для закрепления. Их операции демонстрируют сложные методы обфускации со стратегическим акцентом на военные и медицинские исследования, что указывает на мотивы государственного шпионажа.
-----

Кампания, приписываемая UNC6508, злоумышленнику с китайскими связями, нацелена на академические, медицинские и военные исследовательские секторы Северной Америки в течение длительного периода, оставаясь незамеченной с сентября 2023 года. Актеры скомпрометировали внешние веб-приложения, в основном эксплуатируя серверы REDCap, используемые в медицинском исследовательском сообществе. Они развернули пользовательское ВПО под названием INFINITERED, предназначенное для захвата легитимных учетных данных и содействия скрытой эксфильтрации данных из целевых внутренних систем.

Первоначальный доступ к серверам REDCap был получен путем эксплуатации уязвимостей, особенно в устаревших версиях программного обеспечения. После закрепления UNC6508 провел внутреннюю разведку для обнаружения и сбора учетных данных учетных записей баз данных и служб, а также развернул Веб-шелл с именем help.php для закрепления. Спустя три месяца было развернуто INFINITERED, которое троянизировало легитимные системные файлы REDCap и реализовало модульные компоненты, позволяющие обеспечить расширенный контроль и функциональность. ВПО способно выполнять инъекцию кода в процессе обновления REDCap, обеспечивая его сохранение после обновлений и поддержание доступа.

Вредоносное ПО INFINITERED включает в себя краулер учетных данных, который захватывает учетные данные пользователей во время входа в систему, и механизм бэкдора, присутствующий в пользовательских хуках, который выполняется при каждой загрузке страницы. Бэкдор позволяет злоумышленнику выполнять команды, выполнять SQL-запросы и передавать файлы по мере необходимости. Примечательно, что после года операций UNC6508 получил доступ к учетной записи администратора, используя украденные учетные данные, и применил новую технику, которая эксплуатировала правила соответствия контента для эксфильтрации целевых электронных сообщений. Это было обеспечено через правило соответствия под названием «Patroit», которое отслеживало шаблоны ключевых слов для пересылки корреспонденции в скрытую копию (BCC) на учетную запись Gmail, контролируемую злоумышленником.

Амбиции кампании выходят за рамки медицинских исследований и включают сбор разведданных в сфере обороны и передовых технологий, что соответствует стратегическим интересам Китайской Народной Республики. Ключевые слова и целевые лица указывали на фокус на обороне, военной стратегии и конкретных областях медицинских исследований, таких как чикунгунья.

Меры безопасности операций (OpSec), принятые UNC6508, были сложными, с использованием сетей обфускации, включавших скомпрометированные маршрутизаторы и VPN, что значительно скрывало их деятельность. Они также создавали аккаунты, контролируемые злоумышленником, через сервисы массового создания, усиливая свою оперативную скрытность.

Атрибуция данной активности к UNC6508 выполняется с высокой степенью уверенности на основе вредоносной инфраструктуры, согласованных оперативных шаблонов и специфического подхода к целеполаганию, что соответствует историческим тенденциям государственного шпионажа, осуществляемого КНР. Данная атрибуция подчеркивает сохраняющийся риск, создаваемый акторами, мотивированными шпионажем, в значимых секторах, имеющих критическое значение для национальной безопасности и технологического развития.

#ParsedReport #CompletenessLow
17-06-2026

Steals Accounts and Wallets in Seconds! Electron Program Disguised as a Backdoor to Steal Encrypted Data

https://www.huorong.cn/document/tech/vir_report/1969

Report completeness: Low

Soft:
Electron

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 5

#ParsedReport #CompletenessHigh
17-06-2026

The Invisible Stinger: Over 4,000 Outdated Routers Compromised by AryStinger, Turned into Launchpads for Hackers’ Global Attacks

https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks/

Report completeness: High

Threats:
Arystinger
Dropbear_tool
Gs-netcat
Fscan_tool
Dropbearkey_tool
Masscan_tool

Victims:
Router devices, Network attached storage devices

Industry:
Iot

Geo:
Sweden, Singapore, South korea, Malaysia, China

CVEs:
CVE-2025-11837 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qnap malware_remover (<6.6.8.20251023)

CVE-2013-3307 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-5681 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-868l_firmware (le2.03)


ChatGPT TTPs:
do not use without manual check
T1001, T1016, T1018, T1021.004, T1041, T1046, T1057, T1059.004, T1059.006, T1071.001, have more...

IOCs:
File: 1
Domain: 1
Url: 3
Hash: 52
IP: 1

Soft:
hat offi, eChat of, curl

Algorithms:
xor, md5, gzip

Languages:
java, python

Platforms:
mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AryStinger — это семейство ВПО, эксплуатирующее устаревшие маршрутизаторы, особенно те, что оснащены чипами RTL819X, и использующее уязвимости CVE-2013-3307 и CVE-2016-5681 для разведки и эксфильтрации данных. Оно существует в двух версиях — одна для маршрутизаторов, другая для устройств NAS — и взаимодействует со своим C2-сервером через зашифрованные HTTP/HTTPS. AryStinger поддерживает широкий спектр вредоносных возможностей, включая сканирование сети, удаленное управление с помощью таких инструментов, как Dropbear, и было обнаружено на более чем 4300 маршрутизаторах по всему миру, представляя значительные риски из-за низких показателей обнаружения.
-----

Семейство ВПО AryStinger использует уязвимости в устаревших маршрутизаторах, в основном тех, что используют чипы серии RTL819X от Linksys и D-Link. Эти маршрутизаторы, не получавшие обновлений прошивки или безопасности, служат скомпрометированными точками входа для кибератак, направленных на разведку и эксфильтрацию данных. В частности, вредоносное ПО нацелено на две известные уязвимости: CVE-2013-3307 и CVE-2016-5681, обе из которых появились более десяти лет назад. AryStinger существует в двух версиях: версия RTL819X, реализованная на C, и стандартная версия, написанная на Go, предназначенная для устройств NAS.

Вредоносное ПО взаимодействует со своим сервером управления (управление) (C2) по протоколам HTTP/HTTPS, шифруя сетевой трафик с использованием кодирования Protobuf и XOR. Обе версии поддерживают широкий спектр вредоносных возможностей, включая сканирование сети, идентификацию служб и создание каналов постоянного удаленного управления с помощью таких инструментов, как Dropbear и gs-netcat. Зараженные устройства могут не только обеспечивать скрытый контроль для злоумышленников, но и служить платформами для запуска дополнительных атак, таких как операции распределенного отказа в обслуживании (DDoS) или развертывание дополнительных вредоносных загрузок.

Каждый экземпляр AryStinger называется «Исполнителем» (Executor), что позволяет злоумышленникам разделять задачи и выполнять операции разведки параллельно, повышая эффективность своих действий. ВПО обнаружено более чем на 4300 маршрутизаторах по всему миру, при этом значительные концентрации зафиксированы в Южной Корее, Китае и Швеции. Его низкий уровень обнаружения в основных средствах защиты создает повышенный риск, затрудняя отслеживание источников атак, исходящих из этих скомпрометированных устройств.

Деятельность AryStinger включает различные основные задачи, такие как аутентификация с сервером C2, загрузка дополнительного ВПО и выполнение задач сканирования. ВПО позволяет собирать конфиденциальную информацию посредством сетевой разведки, а также осуществлять потенциально вредоносные действия, такие как DNS-перехват для перенаправления пользователей на вредоносные сайты.

Кроме того, стандартная версия AryStinger была дополнена дополнительным функционалом, таким как возможность выполнения внутренних сканирований сети и запуска динамических полезной нагрузки, что повышает её универсальность и вероятность успеха в целевых средах. Эта эволюция возможностей ВПО значительно усиливает обеспокоенность относительно целостности и безопасности сетей, использующих устаревшее аппаратное обеспечение, подчеркивая необходимость постоянной бдительности и проактивных мер в практике кибербезопасности.

#ParsedReport #CompletenessLow
15-06-2026

Iran Hajj Organization Data Claim, Crypto Leads Sale, APT43 Tooling Claim, Sweden User Data, and Chrysler Breach Claim

https://socradar.io/blog/iran-hajj-organization-apt43-sweden-data/

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Sim_swapping_technique
Smishing_technique
Everest

Victims:
Government, Travel, Finance, Cryptocurrency, Marketing, Data services, Automotive

Industry:
Government, Financial

Geo:
Swedish, Sweden, North korea, Iran

ChatGPT TTPs:
do not use without manual check
T1014, T1068, T1110.004, T1204, T1566, T1566.004, T1656

Soft:
Android, Linux

Wallets:
coinbase

Crypto:
bitcoin, binance

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последних отчетах подробно описываются значительные утечки, связанные с конфиденциальными данными, включая базу данных Организации по делам хаджа и паломничества Ирана, содержащую более 168 миллионов записей, что создает риски кражи личных данных. Пользовательские данные крупных криптовалютных платформ попали в открытый доступ, что позволяет проводить потенциальные фишинговые атаки и атаки с подменой SIM-карт. Кроме того, северокорейский злоумышленник APT43 связан с передовыми инструментами, способными нарушить работу систем Android и Linux, а группа вымогательского ПО Everest заявляет о похищении 1 ТБ данных у компании Chrysler, что повышает риски целевых фишинговых кампаний.
-----

Согласно последним отчетам по безопасности, зафиксировано несколько утечек данных и потенциальных угроз, связанных с конфиденциальной информацией. Появилось утверждение о том, что злоумышленник якобы продает базу данных, содержащую более 168 миллионов записей за период с 1984 по 2024 год, взятых из Организации по делам паломничества и хаджа Ирана. Этот набор данных включает личную информацию, такую как имена, номера удостоверений личности, данные паспортов, контактные данные, а также конфиденциальные документы, относящиеся к государственным служащим и военному персоналу. Если это утверждение соответствует действительности, оно создает значительные риски кражи личных данных и финансового мошенничества.

В другом случае данные пользователей с различных криптовалютных платформ, включая Binance.US, Coinbase и Crypto.com, якобы были агрегированы и предложены на продажу. Этот набор данных содержит сотни тысяч строк пользовательской информации, которые могут быть использованы для фишинговых атак, подмены SIM-карт и Подстановки украденных учетных данных, что дополнительно угрожает безопасности криптопользователей.

Еще одно тревожное развитие событий связано со злоумышленником, известным как APT43, который ассоциируется с кибердеятельностью Северной Кореи. Сообщается о публикации, которая, по утверждениям, содержит бэкдоры, руткиты и уязвимости нулевого дня, связанные с этой группой. alleged инструменты включают бэкдор на C++ с надежными мерами противодействия криминалистическому анализу и инструменты, способные нарушить работу систем Android и ядер Linux. Если какие-либо из этих утверждений окажутся верными, они представляют собой серьезную угрозу целостности систем, обеспечивая несанкционированный доступ и закрепление в целевых сетях.

В Швеции на продажу появился набор данных, связанный с AdressFakta, который, по сообщениям, включает более 5 миллионов уникальных записей пользователей. Наличие адресов проживания и контактных данных из этого набора данных указывает на возможность проведения масштабных фишинговых атак и атак социальной инженерии, что может дополнительно поставить под угрозу личную жизнь отдельных лиц.

Наконец, группа вымогательского ПО Everest взяла на себя ответственность за инцидент с нарушением безопасности, связанный с компанией Chrysler, утверждая, что было похищено более 1 ТБ данных, включая информацию из CRM-системы. Если эти утверждения будут подтверждены, раскрытие данных о взаимодействии с клиентами может привести к целевым фишинговым атакам и мошенническим схемам социальной инженерии, направленным против клиентов и деловых партнеров.

Последствия этих событий подчеркивают критическую необходимость бдительного сбора киберугроз для снижения рисков, связанных с утечками данных и вредоносной кибердеятельностью. Таким образом, непрерывный мониторинг угроз в даркнете остается необходимым для эффективного управления цифровыми рисками.

#ParsedReport #CompletenessHigh
16-06-2026

Hidden in Teams: DragonForce Attackers Weaponize Microsoft Teams Relays to Stay Hidden

https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor

Report completeness: High

Actors/Campaigns:
Dragonforce

Threats:
Dragonforce_ransomware
Byovd_technique
Dll_hijacking_technique
Abyss_locker
Abyssworker
Av-killer
Netscan_tool

Victims:
Services

Geo:
Switzerland

CVEs:
CVE-2023-52271 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- topazevolution antifraud (le2.0.0.0)

CVE-2025-1055 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1055, T1068, T1090, T1105, T1112, T1136.001, T1190, T1211, have more...

IOCs:
File: 7
Hash: 22
Domain: 8
Url: 1
IP: 1

Soft:
Microsoft Teams, MSSQL, VirtualBox

Algorithms:
zip

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей DragonForce использует троянский бэкдор Backdoor.Turn, написанный на Go, который эксплуатирует ретранслятор TURN Microsoft Teams для скрытых коммуникаций управления, что затрудняет их обнаружение. Изначально они получили доступ к американской компании через уязвимость в SQL-сервере, сохраняли доступ в течение одного-двух месяцев и развертывали вымогательское ПО с помощью техники сайд-лоадинга с использованием вредоносной DLL в легитимном приложении VirtualBox. Их тактика включает перехват DLL, эксплуатацию уязвимостей драйверов (в частности, Huawei) и применение продвинутых методов уклонения, что указывает на сложную эволюцию операций, выходящую за рамки типичных моделей вымогательского ПО.
-----

Группа вымогательского ПО DragonForce разработала передовые методы проведения кибератак, в частности используя основанную на Go троянскую программу Backdoor.Turn, которая использует инфраструктуру ретрансляции TURN Microsoft Teams для связи управления (C2). Такой подход позволяет злоумышленникам маскировать свой трафик C2 в рамках легитимных соединений с серверами Microsoft Teams, что затрудняет обнаружение для сетевых защитников, которые могут наблюдать только нормальный исходящий трафик. Backdoor.Turn представляет собой значительное новшество в поведении ВПО, так как это первый известный случай, когда ВПО использует ретрансляции TURN подобным образом.

Злоумышленники изначально скомпрометировали сеть американской сервисной компании, используя неуказанную уязвимость в сервере SQL или MSSQL, которая, возможно, была получена через брокера доступа, и сохраняли доступ в течение одного-двух месяцев перед развертыванием своего ransomware. Вредоносная нагрузка включала загрузку ZIP-файла, содержащего легитимное приложение VirtualBox, сопровождаемое вредоносной DLL, которая использовалась для side-loading и для обеспечения доступа и эксфильтрации данных. Этот процесс включал техники, которые изменяли правила брандмауэра и использовали агрегированные учетные данные для поддержания контроля над скомпрометированными системами.

Критическим компонентом тактики злоумышленников стала подмена DLL для внедрения вредоносного кода в доверенные процессы, в частности VirtualBox, что предоставляло метод повышения привилегий без срабатывания средств защиты. Кроме того, злоумышленники использовали технику «Bring Your Own Vulnerable Driver» (BYOVD), эксплуатируя известные уязвимости в легитимных драйверах, включая новое эксплойт-решение для Huawei's HWAuidoOs2Ec.sys. Дополнительно они использовали различные уязвимости драйверов в других системах, демонстрируя стратегический фокус на разработке передовых техник обхода, позволяющих осуществлять более глубокое проникновение в сети.

В ходе своей деятельности группа DragonForce продемонстрировала высокий уровень сложности, перейдя от стандартной модели программы-вымогателя как услуги к более структурированной картельной организации. Эта эволюция отражает расширенные возможности, стратегическое планирование целевых кампаний и растущий фокус на операционном совершенствовании. Развертывание Backdoor.Turn в сочетании с их многовекторными стратегиями обхода защиты подчеркивает положение группы среди наиболее стойких и способных угроз программ-вымогателей, выявленных на сегодняшний день.

#ParsedReport #CompletenessMedium
16-06-2026

Dozens of malicious wallpapers found on Steam Workshop: gamers’ accounts at risk

https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/

Report completeness: Medium

Threats:
Darkcomet_rat
Lumma_stealer
Vidar_stealer
Renengine

Victims:
Gamers, Steam workshop users, Wallpaper engine users, Gaming

Industry:
Entertainment

Geo:
Russia, Germany, Vietnam, Hong kong, Singapore, India, China, Canada

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1071.001, T1078, T1204.002, T1486, T1496

IOCs:
File: 2
Url: 24
Hash: 13

Soft:
Steam, Android

Algorithms:
md5

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, нацеленная на геймеров, особенно в Китае и России, использует приложение Wallpaper Engine для распространения вредоносных загрузок через скомпрометированные пакеты обоев. Злоумышленники эксплуатируют возможность этого программного обеспечения выполнять код, внедряя ВПО, такое как бэкдоры (например, Synaptics.exe) из семейства DarkKomet, которые захватывают и передают учетные данные Steam на свои серверы. Операция включает различные техники, включая исполняемые файлы и архивы, защищенные паролем, что указывает на сотрудничество между несколькими группами хакеров.
-----

Начиная с конца 2025 года волна ВПО распространяется через Steam Workshop, в частности, нацеленная на геймеров в Китае и России. Основной метод, используемый злоумышленниками, заключается в эксплуатации Wallpaper Engine — популярного приложения, позволяющего пользователям устанавливать анимированные обои на рабочем столе. Эта функциональность была изменена, при этом ВПО скрыто в пакетах обоев, которыми делятся пользователи. Когда люди применяют эти скомпрометированные обои, их учетные записи Steam могут быть перехвачены, а системы заражены бэкдорами или криптомайнерами.

Работа Wallpaper Engine представляет собой уязвимость безопасности из-за её способности выполнять сторонний код на машинах пользователей, что киберпреступники активно использовали для внедрения ВПО непосредственно в обои рабочего стола. Атакующие применяли различные техники для доставки ВПО. В наблюдавшихся случаях ВПО упаковывалось вместе с исполняемыми файлами или скрывалось в архивах, защищённых паролем. Жертв либо вынуждали вводить пароли, либо они извлекались автоматизированными скриптами. Вредоносная нагрузка обычно активируется сразу после того, как пользователь выбирает обои.

Анализированный вариант обоев, обнаруженный в декабре 2025 года, выглядит безобидно, но запускает серьезный процесс заражения после запуска. Пока игра на основе обоев работает как задумано, проявляется скрытая угроза: выполняется бэкдор Synaptics.exe, связанный с семейством ВПО DarkKomet. Одновременно другой исполняемый файл устанавливает модифицированную системную библиотеку AggregatorHost.dll, предназначенную для поиска и сбора учетных данных Steam с скомпрометированной системы. Эти данные затем передаются на сервер, контролируемый злоумышленниками, что дает им возможность эксплуатировать активную сессию Steam жертвы.

Масштаб кампании вызывает тревогу, поскольку злоумышленники эффективно используют функцию обоев приложения для распространения множества типов вредоносного ПО, включая инфостилеры, бэкдоры и криптомайнеры. Это указывает на коллективные усилия, в которых участвуют несколько хакерских групп, а не одна организация. Текущие расследования показывают, что основные жертвы сосредоточены в Китае, на которые приходится около 89% обнаруженных попыток загрузки вредоносных файлов, за которыми следуют меньшие показатели из России и различных других стран.

Несмотря на предпринятые командой Steam меры по удалению выявленного вредоносного контента с платформы, стремительное появление новых зараженных обоев требует от пользователей осторожности. Рекомендуется проводить антивирусные сканирования перед применением любых обоев из Steam Workshop для снижения потенциальных рисков. Текущая тенденция подчеркивает, что даже хорошо зарекомендовавшие себя платформы могут служить каналами для распространения ВПО, что требует постоянной бдительности и проактивных мер безопасности.