1년간 스팀 악성코드 유포, 월페이퍼 엔진 악용해 계정 정보 탈취

출처 1: https://www.techspot.com/news/112812-criminals-have-distributing-malware-steam-since-2025-tens.html

사이버 범죄자들, 1년간 Steam 통해 악성코드 유포, 수만 명 피해

스팀의 월페이퍼 엔진이 사용자 자격 증명을 탈취하고 활성 세션을 하이재킹하는 데 악용

카스퍼스키에 따르면, 사이버 범죄자들은 ​​2025년부터 스팀 사용자들을 대상으로 지속적인 악성코드 공격을 감행해 왔으며, 바탕화면으로 위장한 악성 소프트웨어를 배포했습니다. 이 공격은 스팀에서 가장 인기 있는 비게임 다운로드 중 하나인 라이브 배경화면 애플리케이션 '월페이퍼 엔진'(Wallpaper Engine)을 사용하는 게이머들의 계정을 탈취했습니다.

공격은 월페이퍼 엔진의 "Application Wallpaper" 실행 파일을 악용한 것으로 알려졌습니다. 이 실행 파일은 독립형 윈도우 프로그램으로 실행되며, 커뮤니티에서 개발한 게임, 플래너, 캘린더, 시스템 모니터 및 기타 위젯을 포함할 수 있습니다. 그러나 이 앱은 검증되지 않은 타사 코드를 사용자의 시스템에서 실행할 수 있도록 허용하기 때문에, 공격자들이 이를 악용하여 아무것도 모르는 사용자들을 공격할 수 있습니다.

연구원들은 공격자들이 악성코드를 배포하는 데 주로 두 가지 방법을 사용한다는 것을 발견했습니다. 첫 번째는 실행 가능한 배경화면 파일과 악성 페이로드를 함께 담은 압축 파일을 이용하는 것입니다. 악성코드는 일반적으로 손상된 .exe 파일, DLL 또는 스크립트와 같은 악성 코드로 구성되었습니다. 또한, 악성코드는 암호로 보호된 압축 파일 안에 숨겨져 있다가 배경화면이 적용될 때 자동으로 실행되는 경우가 많았습니다.

감염된 실행 파일은 적용되면 사용자의 계정 자격 증명을 탈취하고, 실행 중인 세션을 하이재킹하여, 탈취한 데이터를 공격자가 제어하는 ​​서버로 전송합니다. 연구원들은 스팀 워크샵에서 수십 개의 악성 애플리케이션 배경화면을 발견했는데, 그중 일부는 수만 번 다운로드된 것도 있었습니다.

공격자의 수법을 테스트하기 위해 연구원들은 NTRaholic이라는 악성 게임이 포함된 배경화면을 실행했는데, 이 게임은 "완벽하게" 실행되었습니다. 게임 플레이와 조작은 광고된 대로 작동하여 처음에는 의심을 사지 않았습니다. 그러나 사용자는 알지 못했지만, 이 배경화면에는 악명 높은 DarkKomet 멀웨어 계열의 Synaptics.exe라는 백도어가 포함되어 있었습니다.

게임을 실행하는 실행 파일은 ._cache_GAME1.exe였지만, 이 파일은 AggregatorHost.dll이라는 시스템 라이브러리도 설치했습니다. 이 라이브러리에는 사용자 데이터를 탈취하여 공격자의 명령 및 제어 서버로 전송하도록 설계된 악성 페이로드가 포함되어 있었습니다. 공격자는 활성 세션을 장악한 후, 탈취한 계정을 사용하여 스팀 워크샵에 추가 악성 배경화면을 업로드했습니다.

이번 캠페인은 주로 중국 게이머들을 대상으로 했으며, 감염된 다운로드의 89%가 중국 사용자들이었습니다. 독일, 캐나다, 러시아, 싱가포르, 홍콩, 베트남, 인도 사용자들도 영향을 받았지만 그 수는 훨씬 적었습니다. 스팀은 이후 모든 악성 배경화면을 삭제했지만, 카스퍼스키는 내장 실행 파일이 포함된 배경화면을 적용하기 전에 바이러스 검사를 실행할 것을 사용자들에게 계속 권고하고 있습니다.

※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다.