Hàng chục nghìn game thủ có nguy cơ bị đánh cắp tài khoản Steam

Theo Kaspersky, chính khả năng chạy mã của bên thứ ba đã trở thành mục tiêu khai thác của tin tặc.

Các nhà nghiên cứu bảo mật của Kaspersky vừa phát hiện một chiến dịch phát tán phần mềm độc hại quy mô lớn nhắm vào người dùng Steam thông qua các hình nền động trên Steam Workshop. Cuộc tấn công được cho là đã diễn ra từ năm 2025 và lợi dụng ứng dụng Wallpaper Engine để cài cắm mã độc, từ đó đánh cắp thông tin đăng nhập và chiếm quyền kiểm soát tài khoản của game thủ.

Tin tặc lợi dụng Wallpaper Engine để phát tán mã độc

Wallpaper Engine là một trong những ứng dụng phổ biến nhất trên Steam, cho phép người dùng sử dụng hình nền động và các nội dung tương tác do cộng đồng tạo ra. Ngoài hình nền thông thường, nền tảng này còn hỗ trợ các ứng dụng nhỏ, trò chơi đơn giản, tiện ích theo dõi hệ thống và nhiều nội dung có khả năng thực thi mã trên Windows.

Theo Kaspersky, chính khả năng chạy mã của bên thứ ba đã trở thành mục tiêu khai thác của tin tặc. Các đối tượng tấn công đã tạo và phát tán những hình nền chứa tệp thực thi độc hại, được ngụy trang dưới dạng nội dung hợp pháp trên Steam Workshop.

Hàng chục nghìn lượt tải xuống các hình nền nhiễm mã độc

Các chuyên gia bảo mật phát hiện nhiều hình nền ứng dụng chứa mã độc đã xuất hiện trên Steam Workshop và thu hút hàng chục nghìn lượt tải xuống trước khi bị gỡ bỏ.

Trong quá trình phân tích, Kaspersky đã thử nghiệm một hình nền có tích hợp trò chơi mang tên "NTRaholic". Bề ngoài, trò chơi hoạt động hoàn toàn bình thường với đầy đủ tính năng như mô tả. Tuy nhiên, khi được khởi chạy, ứng dụng âm thầm cài đặt các thành phần độc hại vào hệ thống.

Một trong những tệp được phát hiện là Synaptics.exe, thuộc họ phần mềm độc hại DarkKomet – loại mã độc từng được sử dụng rộng rãi để giám sát và đánh cắp dữ liệu người dùng.

Mã độc đánh cắp tài khoản và chiếm quyền điều khiển phiên đăng nhập

Theo báo cáo, tin tặc sử dụng hai phương thức chính để phát tán mã độc. Một số hình nền đi kèm tệp thực thi hoặc thư viện DLL độc hại, trong khi một số khác sử dụng các tệp nén được bảo vệ bằng mật khẩu nhằm che giấu mã độc khỏi các công cụ kiểm tra thông thường.

Sau khi được cài đặt thành công, mã độc sẽ thu thập thông tin đăng nhập, cookie phiên làm việc và nhiều dữ liệu nhạy cảm khác từ máy tính nạn nhân. Dữ liệu này sau đó được gửi về máy chủ điều khiển của kẻ tấn công.

Đáng chú ý, các tài khoản Steam bị chiếm quyền còn được sử dụng để tiếp tục đăng tải thêm các hình nền nhiễm mã độc lên Steam Workshop, giúp chiến dịch phát tán lan rộng hơn.

Người dùng Việt Nam cũng nằm trong danh sách bị ảnh hưởng

Kaspersky cho biết phần lớn nạn nhân đến từ Trung Quốc, chiếm khoảng 89% tổng số lượt tải xuống các nội dung bị nhiễm mã độc. Tuy nhiên, chiến dịch không chỉ giới hạn tại một quốc gia.

Các trường hợp bị ảnh hưởng cũng được ghi nhận tại Đức, Canada, Nga, Singapore, Hồng Kông, Ấn Độ và Việt Nam, cho thấy quy mô phát tán mang tính quốc tế.

Steam đã gỡ bỏ nội dung độc hại

Sau khi nhận được báo cáo, Steam đã tiến hành xóa toàn bộ các hình nền độc hại được xác định trên Workshop. Tuy nhiên, Kaspersky khuyến cáo người dùng nên cẩn trọng với các nội dung có chứa tệp thực thi hoặc ứng dụng tích hợp từ bên thứ ba.

Các chuyên gia bảo mật khuyến nghị game thủ nên:

• Chỉ tải nội dung từ các nhà phát triển uy tín.
• Quét virus trước khi cài đặt các hình nền hoặc tiện ích có khả năng thực thi mã.
• Kích hoạt xác thực hai lớp cho tài khoản Steam.
• Thường xuyên kiểm tra hoạt động đăng nhập bất thường.
• Cập nhật phần mềm bảo mật trên máy tính.

Vụ việc một lần nữa cho thấy các nền tảng nội dung cộng đồng như Steam Workshop có thể trở thành mục tiêu hấp dẫn của tội phạm mạng nếu người dùng thiếu cảnh giác. Dù Steam đã nhanh chóng xử lý sự cố, người dùng vẫn cần chủ động bảo vệ tài khoản và dữ liệu cá nhân trước những hình thức tấn công ngày càng tinh vi.