Une campagne malveillante a exploité le Steam Workshop pour diffuser des fonds d’écran animés infectés via Wallpaper Engine, permettant l’installation de logiciels malveillants sur des milliers d’ordinateurs. Selon Numerama, les chercheurs de Kaspersky ont révélé cette attaque le 16 juin 2026, mettant en lumière une méthode insidieuse pour voler des comptes Steam et prendre le contrôle de machines infectées.
Ce qu'il faut retenir
- Des dizaines de packs de fonds d’écran animés, disponibles sur le Steam Workshop, contenaient des malwares conçus pour cibler les utilisateurs de Wallpaper Engine.
- Ces « wallpapers applicatifs » embarquaient des exécutables Windows ou des scripts capables d’installer des payloads variés : backdoors, voleurs d’informations, cryptominers ou ransomwares.
- Plus de **10 000 téléchargements** ont été recensés pour certains packs infectés avant leur suppression.
- Les cibles principales se situaient en **Chine et en Russie**, mais des victimes ont aussi été identifiées à Singapour, Hong Kong, en Allemagne, au Vietnam, en Inde et au Canada.
- Un cas repéré en décembre 2025 illustre le procédé : un fond d’écran anodin installait en arrière-plan une porte dérobée (DarkKomet) et une bibliothèque modifiée pour voler des identifiants Steam.
Une technique malveillante exploitant un logiciel populaire
Wallpaper Engine, logiciel permettant d’afficher des images animées ou des vidéos sur le bureau, s’appuie sur le Steam Workshop pour partager des contenus créés par la communauté. Parmi ces contenus figurent les « fonds d’écran applicatifs », capables d’exécuter du code sur Windows dès leur installation. Les attaquants ont précisément exploité cette fonctionnalité pour y dissimuler des malwares. « Certains packs ressemblaient à des fonds d’écran classiques, mais exécutaient en réalité des fichiers .exe, des DLL ou des scripts malveillants », explique un rapport de Kaspersky.
Une fois le fond d’écran installé, le code malveillant se lançait automatiquement. Il pouvait ensuite installer une « charge utile » (payload) adaptée à différents objectifs : vol de comptes, récupération de données personnelles, installation de cryptominers ou de ransomwares. Dans certains cas, le payload était directement intégré au fichier du fond d’écran. Dans d’autres, il était caché dans une archive protégée par mot de passe, celui-ci étant parfois dissimulé dans la configuration même du fond d’écran.
Des payloads variés pour des objectifs précis
Les malwares identifiés par Kaspersky incluaient des outils comme DarkKomet, une porte dérobée permettant un accès distant à la machine, ou des « infostealers » tels que Lumma et Vidar, conçus pour voler des identifiants et des données sensibles. D’autres payloads, comme RanEngine, agissaient comme des « loaders » pour télécharger et installer d’autres malwares à distance. Enfin, certains fonds d’écran piégés installaient des mineurs de cryptomonnaies ou des ransomwares, selon l’objectif des attaquants.
Un exemple concret illustre l’efficacité de cette méthode. En décembre 2025, un fond d’écran présenté comme un simple jeu de bureau installait discrètement DarkKomet en arrière-plan. Ce malware permettait de récupérer les identifiants des utilisateurs de Steam et de détourner des sessions déjà ouvertes. « L’objectif était clair : voler des comptes de jeu, surtout ceux de Steam, mais aussi collecter des données personnelles ou installer d’autres malwares », précise Kaspersky.
Une campagne ciblant les joueurs, mais pas seulement
Les joueurs, habitués à télécharger des contenus communautaires sur le Steam Workshop, constituaient une cible privilégiée. Cependant, les attaques ne se limitaient pas à ce public. Les malwares pouvaient aussi récupérer des informations sur l’ordinateur infecté, installer d’autres logiciels malveillants ou maintenir un accès permanent via une porte dérobée. « Tout ce qui pouvait permettre de reprendre la main sur un compte ou un système était visé : identifiants, cookies de session, données sensibles », souligne le rapport.
Les régions les plus touchées étaient la **Chine** et la **Russie**, où des milliers de téléchargements ont été recensés. Des victimes ont également été identifiées à **Singapour**, **Hong Kong**, en **Allemagne**, au **Vietnam**, en **Inde** et au **Canada**. « Cette campagne montre que les plateformes populaires ne sont pas à l’abri des risques, même lorsque les contenus proviennent de la communauté », rappelle Kaspersky.
Comment se protéger de ce type d’attaques ?
Pour éviter de tomber dans le piège, Numerama recommande la prudence lors de l’installation de contenus depuis le Steam Workshop. Il est conseillé de vérifier le profil du créateur, de lire les commentaires des utilisateurs et de rester attentif à tout signe suspect, comme des avis négatifs récents ou des descriptions floues. Un antivirus à jour peut également bloquer l’exécution de ces malwares avant qu’ils ne causent des dégâts.
Wallpaper Engine a indiqué avoir supprimé les packs infectés dès leur détection. Cependant, l’incident rappelle l’importance de la vigilance, même sur des plateformes réputées. « Un contenu publié sur une plateforme connue n’est pas forcément sans risque. Mieux vaut prendre le temps de vérifier avant de cliquer sur « Installer » », conclut Numerama.
Cette affaire soulève également des questions sur la responsabilité des plateformes comme Steam et Wallpaper Engine dans la modération des contenus communautaires. Comment prévenir efficacement la diffusion de malwares tout en préservant la liberté de création des utilisateurs ?
Plusieurs signes peuvent alerter : un comportement anormal du logiciel (lenteurs, messages d’erreur), des processus inconnus dans le gestionnaire des tâches, ou encore des demandes inhabituelles d’autorisations. Il est recommandé de vérifier les commentaires du pack, le nombre de téléchargements et le profil du créateur avant toute installation.
