Что случилось

Исследователи Касперского обнаружили, что Steam Workshop — встроенный сервис для обмена пользовательским контентом — превратился в канал распространения вирусов. Раздают их под видом «живых» обоев для рабочего стола.

Кампания идёт как минимум с конца 2025 года. Отдельные заражённые наборы успели собрать тысячи, а то и десятки тысяч скачиваний, прежде чем на них обратили внимание. Цель простая — угнать игровой аккаунт. У активного геймера на нём висит библиотека игр на десятки тысяч рублей, внутриигровые предметы, иногда привязанная карта. Лакомый кусок.

Бьют точечно. По данным Касперского, 89% попыток скачать заражённые обои пришлось на Китай — под него и заточены стили и названия наборов. Россия идёт второй, на неё приходится 5,5% скачиваний. Дальше по мелочи: Сингапур, Гонконг, Германия, Вьетнам, Индия, Канада.

Что такое Wallpaper Engine и почему «живые обои» опасны

Wallpaper Engine — популярное приложение для Steam, которое ставит на рабочий стол анимированные обои вместо обычной картинки. У него около 100 тысяч активных пользователей в день и почти миллион отзывов. Штука и правда красивая: вместо статичного фона — дождь по стеклу, движущийся пейзаж или сцена из игры.

Внутри есть редактор, поэтому обои делают сами пользователи и выкладывают друг другу через тот самый Steam Workshop. И вот тут начинается интересное. Обои в Wallpaper Engine бывают разные, и не все одинаково безобидны.

Последний тип — приложения — и есть слабое место. По сути это не картинка, а отдельная программа, которая запускается у вас на компьютере: мини-игра прямо на рабочем столе, календарь, монитор загрузки процессора, виджет погоды. Раз это программа, в неё можно зашить что угодно.

Представьте, что вместо того чтобы повесить на стену постер, вы пускаете в квартиру человека, который будет этот постер держать. Постер красивый, спору нет. Но человек теперь внутри — и чем он там ещё занят, вы не видите.

Как происходит заражение

Касперский разобрал несколько вариантов и нашёл два основных способа доставки вируса.

Первый — в лоб. В архив с обоями просто кладут заражённый исполняемый файл, библиотеку или скрипт рядом с самими обоями. Когда вы выбираете и применяете такие обои, вредонос запускается автоматически. Никакой кнопки «установить вирус» нажимать не надо — всё происходит само.

Второй способ хитрее. Вирус прячут в архив под паролем, чтобы антивирус не заглянул внутрь раньше времени. А пароль кладут на самом видном месте — прямо в название архива или в служебный файл настроек, который ставится вместе с обоями. Дальше либо скрипт сам подставляет пароль, либо человека подталкивают ввести его руками.

Как это выглядит изнутри, видно на примере одного образца, который специалисты поймали в декабре 2025 года. Внешне — обои с мини-игрой. Игра запускается, работает плавно, управление на рабочем столе откликается. Подозрений ноль. А в фоне за пару минут разворачивается полноценное заражение.

Сначала на компьютер падает файл-бэкдор Synaptics.exe — это вредонос семейства DarkKomet, который открывает злоумышленнику удалённый доступ к машине. Одновременно запускается второй файл, ._cache_GAME1.exe. Он делает двойную работу: показывает ту самую безобидную игру и подсовывает системе подменённую библиотеку AggregatorHost.dll. У этой библиотеки одна задача — найти на компьютере установленный Steam и вытащить данные учётной записи.

Дальше вор не просто крадёт логин и пароль. Он перехватывает активную сессию — то есть входит в аккаунт так, будто это сделали вы сами, без всякого запроса пароля. Тот же приём мы разбирали в материале про то, как крадут аккаунты вообще без пароля — там воруют не сам пароль, а готовый «пропуск», который браузер выдаёт после входа.

Что в итоге крадут

Аккаунтом Steam дело не ограничивается. Касперский насчитал почти весь зоопарк современной заразы — от шпионов до майнеров. Вот кто чаще всего попадался в этих обоях.

Кроме этого набора в обоях находили майнеры — программы, которые втихую гоняют ваш компьютер на добычу криптовалюты для чужого кармана (отсюда тормоза и горячий кулер) — и даже шифровальщики, запирающие файлы ради выкупа.

Стилеры особенно неприятны тем, что выгребают всё подряд. Сохранённые в браузере пароли, реквизиты карт, сессии других сервисов. Если вы держите пароли в браузере, а не в отдельном менеджере паролей, один такой зловред уносит сразу весь список.

Почему «магазин Steam» — не гарантия

Главный психологический трюк здесь именно в доверии к площадке. Steam Workshop встроен в сам клиент Steam, контент качается «изнутри» знакомого магазина, и мозг автоматически ставит галочку «безопасно». Раз это не подозрительный сайт с торрентами, а официальная мастерская — значит, проверено. На деле — нет.

Steam Workshop — это пользовательский контент. Туда выкладывают что хотят и кто хочет. Модерация не успевает проверять каждый загруженный набор обоев так же глубоко, как антивирус проверяет файл. Касперский прямо отмечает: к моменту публикации их отчёта Steam уже удалил найденные заражённые обои, но новые продолжают появляться. Полагаться на то, что площадка отловит всё, нельзя.

Атрибуцию исследователи дают осторожно: набор инструментов слишком разношёрстный для одной группировки. Похоже, что на тренд разом запрыгнули несколько независимых команд — увидели рабочую схему и повторяют её каждая под себя.

Та же логика работает с любым пользовательским контентом: моды для игр, расширения для браузера, шаблоны, пиратские сборки программ. Везде, где один пользователь выкладывает исполняемый файл другому, есть риск получить начинку, которую никто толком не проверял.

Что делать

Полностью отказываться от живых обоев не нужно — само приложение Wallpaper Engine честное, проблема в чужих наборах. Достаточно нескольких привычек.

Держите антивирус включённым и проверяйте обои перед установкой. Это первый и главный совет самого Касперского. Современный антивирус ловит DarkKomet, Lumma, Vidar и компанию независимо от того, как красиво их упаковали. Особенно — если обои оказались «приложением», а не простым видео.

Включите Steam Guard — двухфакторную защиту. Даже если вор перехватит сессию или вытащит пароль, без подтверждения с вашего телефона зайти в аккаунт с нового устройства ему будет намного сложнее. Включается в настройках Steam за минуту.

Не вводите пароли из названий архивов. Если контент требует пароль, лежащий «на видном месте» — это не удобство, а способ спрятать вирус от проверки. Просто не ставьте такие обои.

Смотрите на автора и отзывы. Свежий аккаунт без истории, выложивший популярный набор обоев, — повод насторожиться. Репутация автора в мастерской значит больше, чем красивая превьюшка.

Не качайте контент, который просит сторонний установщик. Нормальные обои применяются внутри Wallpaper Engine. Если набор тянет за собой отдельный «установщик», лаунчер или просит распаковать архив руками — это уже не обои.

Частые вопросы

Это касается только геймеров? В первую очередь — да, потому что Wallpaper Engine ставят через Steam и охотятся за игровыми аккаунтами. Но стилеры внутри воруют пароли и карты у любого, кто запустит заражённые обои, игрок он или нет.

Wallpaper Engine — это вирус? Нет. Само приложение легальное и популярное, в нём нет ничего вредного. Опасны конкретные чужие наборы обоев, которые через него раздают. Это как с YouTube: площадка нормальная, а отдельные ролики бывают мошенническими.

А на телефоне такое возможно? Описанная кампания била по Windows. Версия Wallpaper Engine для Android есть, но именно эту схему Касперский разбирал на компьютерах. Общий принцип, впрочем, универсален — любые «живые обои» из непроверенных источников лучше обходить. Кстати, про вирусы на смартфонах у нас был отдельный разбор свежей RAT-угрозы для Android.

Я уже скачивал обои раньше — что делать? Если ставили обычные видео или сцены — почти наверняка всё в порядке. Если что-то из категории «приложение» с подозрительным происхождением — прогоните компьютер антивирусом и на всякий случай смените пароль Steam с включённым Steam Guard.

Главный вывод: опасность пришла не из тёмного угла интернета, а из знакомого магазина — и в этом весь смысл. Доверие к площадке усыпляет бдительность, а вирус прячется в безобидной с виду красоте на рабочем столе. Правило простое: «обои-приложение» — это запуск чужой программы, а не смена картинки. Антивирус включён, Steam Guard активен, пароли из названий архивов не вводим — и красивый рабочий стол остаётся просто красивым рабочим столом.

Если статья помогла — поделитесь с теми, кому может пригодиться. И заходите в наш канал в MAX, Telegram и Дзен — там анонсы новых материалов.