Ngày 18/6, hãng bảo mật Kaspersky phát đi cảnh báo về việc hàng chục gói hình nền trên Steam Workshop bị tin tặc cài cắm mã độc nhằm tấn công người dùng. Chỉ với thao tác tải và cài đặt hình nền thông thường, game thủ có thể vô tình tạo điều kiện cho kẻ xấu xâm nhập thiết bị và đánh cắp tài khoản.
Ảnh: TL
Steam Workshop là nền tảng quen thuộc với cộng đồng game thủ toàn cầu, nơi người dùng chia sẻ các bản mod, bản đồ tùy chỉnh và hình nền động thông qua ứng dụng Wallpaper Engine. Tuy nhiên, chính sự phổ biến và mức độ tin cậy của nền tảng này đã trở thành công cụ để tin tặc phát tán mã độc.
Theo Kaspersky, nhiều gói hình nền chứa mã độc đã thu hút từ hàng nghìn đến hàng chục nghìn lượt tải xuống trước khi bị phát hiện. Đáng chú ý, các đối tượng tấn công đã lợi dụng tính năng cho phép hình nền dạng ứng dụng của Wallpaper Engine hoạt động trực tiếp trên hệ điều hành Windows.
Các chuyên gia bảo mật cho biết tin tặc sử dụng hai phương thức chính để phát tán mã độc. Một là nhúng trực tiếp tệp thực thi độc hại, thư viện DLL hoặc các đoạn mã lệnh vào gói hình nền. Hai là che giấu mã độc trong các tệp nén được bảo vệ bằng mật khẩu, với mật khẩu được đính kèm ngay trong tên tệp để quá trình giải nén và kích hoạt diễn ra tự động sau khi cài đặt.
Một trường hợp được phát hiện vào tháng 12/2025 cho thấy mức độ tinh vi của thủ đoạn này. Gói hình nền vẫn hoạt động bình thường sau khi cài đặt, thậm chí còn tích hợp một trò chơi mini trên màn hình nền. Tuy nhiên, ở chế độ nền, chương trình âm thầm triển khai mã độc cửa hậu DarkKomet và cài đặt một thư viện đã bị chỉnh sửa để nhắm mục tiêu vào người dùng Steam. Mã độc có khả năng thu thập thông tin đăng nhập, đánh cắp dữ liệu tài khoản và chiếm quyền các phiên đăng nhập đang hoạt động.
Kaspersky cho biết các nạn nhân chủ yếu tập trung tại Trung Quốc và Nga. Tuy nhiên, người dùng tại nhiều quốc gia khác cũng nằm trong danh sách mục tiêu, bao gồm Singapore, Hồng Kông, Đức, Việt Nam, Ấn Độ và Canada.
Các chuyên gia nhận định đây không phải là hoạt động của một nhóm tin tặc đơn lẻ mà là nhiều chiến dịch diễn ra song song. Những kẻ tấn công sử dụng nhiều dòng mã độc khác nhau như Lumma, Vidar chuyên đánh cắp thông tin hoặc RenEngine dùng để tải thêm phần mềm độc hại vào hệ thống.
Ông Maxim Starodubov, chuyên gia an ninh mạng tại Kaspersky, cảnh báo rằng ngay cả các nền tảng uy tín cũng có thể bị lợi dụng để phát tán mã độc. Theo ông, tin tặc đang khai thác niềm tin của người dùng đối với các hệ sinh thái hợp pháp nhằm mở rộng phạm vi tấn công và tiếp cận số lượng lớn nạn nhân thông qua những nội dung tưởng như vô hại.
Trước nguy cơ này, Kaspersky khuyến cáo người dùng cần thận trọng khi tải xuống bất kỳ nội dung nào từ cộng đồng trực tuyến, kể cả trên những nền tảng được đánh giá là đáng tin cậy. Bên cạnh đó, người dùng nên kiểm tra kỹ thông tin nhà phát triển, đánh giá mức độ uy tín của nội dung trước khi cài đặt và sử dụng các giải pháp bảo mật để phát hiện, ngăn chặn các mối đe dọa tiềm ẩn.
Bình luận
0