카스퍼스키의 악성 소프트웨어 보고서
월요일에 발표된 보고서에서 카스퍼스키는 공격자들이 애니메이션 데스크탑 월페이퍼로 위장한 악성 소프트웨어를 배포하기 위해 스팀 워크숍을 이용했다고 밝혔다. 이들 월페이퍼는 주로 여성 애니메이션 캐릭터를 특징으로 하고 있다.
카스퍼스키는 “애플리케이션 기반의 월페이퍼 기능은 실행 가능한 프로그램이 사용자의 윈도우 컴퓨터에서 직접 실행될 수 있도록 하여, 공격자들이 합법적인 콘텐츠 아래에서 악성 소프트웨어를 배포할 수 있게 한다”고 설명하며, 스팀 워크숍을 통해 수십 개의 감염된 월페이퍼 패키지를 확인했다고 덧붙였다.
또한, 카스퍼스키는 자격 증명, 브라우저 데이터 및 암호화폐 지갑 정보를 훔치는 데 일반적으로 사용되는 악성코드 패밀리인 Lumma와 Vidar 인포스틸러를 확인했으며, RenEngine 로더도 포함되어 있다고 밝혔다. 연구자들은 이 활동이 단일 그룹이 아닌 여러 위협 행위자와 관련이 있는 것으로 보인다고 말했다.
“이 패키지 중 많은 수가 수천 또는 수만 번 다운로드되었다”고 카스퍼스키는 전했다.
이 악성코드 캠페인의 피해자는 주로 중국과 러시아에 있었지만, 싱가포르, 홍콩, 독일, 베트남, 인도, 캐나다에서도 감염이 발생했다고 한다. 카스퍼스키는 이 악성 월페이퍼가 악성코드를 직접 포함하거나 설치 후 압축 해제되는 비밀번호 보호 아카이브 안에 숨겨져 있었다고 언급하며, 2025년 사례에서 월페이퍼가 합법적인 데스크탑 게임을 실행하는 것처럼 보이면서 비밀리에 DarkKomet 백도어를 설치한 경우를 설명했다.
카스퍼스키 연구원 Maxim Starodubov는 “신뢰할 수 있는 플랫폼은 악성코드를 배포하는 데 악용될 수 있다. 이러한 공격은 사용자가 합법적인 생태계 내에서 호스팅되는 콘텐츠를 신뢰하는 데 의존한다”고 성명에서 말했다.
“관여된 많은 악성코드 패밀리가 잘 알려져 있지만, 배포 메커니즘은 공격자들이 겉보기에는 무해한 콘텐츠를 통해 많은 잠재적 피해자에게 도달할 수 있게 한다.” 이 발견은 스팀 관련 악성코드 사건의 증가하는 목록에 추가된다.
2025년 7월, 사이버 보안 회사 Prodaft의 연구자들은 스팀 얼리 액세스 게임 Chemia가 암호화폐 지갑과 사용자 데이터를 겨냥한 Hijack Loader, Fickle Stealer 및 Vidar Stealer 악성코드를 배포하기 위해 손상되었다고 보고했다. 3월에는 FBI가 Chemia, PirateFi, BlockBlasters, Dashverse, DashFPS, Lampy, Lunara 및 Tokenova를 포함한 여러 스팀 게임을 통해 배포된 악성코드에 대한 조사를 발표했다.
