Molayo

© 2026 Molayo

Tom's Hardware헤드라인2026. 06. 18. 19:16

Kaspersky, 계정을 탈취하여 확산되는 Steam Wallpaper Engine 내 숨겨진 악성코드 발견 — 수십 개의 악성 패키지가

요약

공격자들이 Steam의 Wallpaper Engine을 악용하여 악성코드를 유포하고 사용자 계정을 탈취하는 캠페인이 발견되었습니다. 탈취된 계정은 다시 악성 패키지를 업로드하는 경로로 사용되어 감염이 확산되는 악순환을 일으키고 있습니다.

핵심 포인트

  • Wallpaper Engine의 애플리케이션 배경화면 기능을 통한 악성 코드 실행
  • DarkKomet 백도어, 인포스틸러, 랜섬웨어 등 다양한 페이로드 유포
  • 탈취된 Steam 세션을 이용해 악성 배경화면을 재게시하는 확산 방식
  • 중국 사용자를 중심으로 한 대규모 공격 시도 확인

Steam Hardware Survey April 2022

공격자들은 지난 몇 달 동안 애니메이션 데스크톱 배경화면을 통해 Steam으로 악성코드를 밀반입해 왔으며, 이를 설치한 피해자의 계정을 탈취한 뒤 해당 도난 계정을 사용하여 더 많은 감염 파일을 업로드해 왔습니다. 이는 최근 Securelist에 발표된 보고서를 작성한 Kaspersky 연구원 Maxim Starodubov와 Denis Brylev에 따르면 다음과 같습니다. 보고서에 따르면, 이 악성코드 캠페인은 작년 말부터 진행되었으며 중국의 게이머들을 표적으로 삼아 자격 증명 탈취기 (credential stealers)부터 암호화폐 채굴기 (crypto miners), 랜섬웨어 (ransomware)에 이르기까지 모든 것을 유포하고 있습니다. Kaspersky는 수십 개의 악성 패키지를 발견했으며, 일부는 삭제되기 전까지 수만 번 다운로드되었습니다.

범인은 Steam에서 가장 많이 사용되는 비게임 타이틀 중 하나로, 93,000명에서 114,000명의 동시 접속자와 거의 100만 개의 리뷰를 보유한 4.99달러 상당의 라이브 배경화면 도구인 Wallpaper Engine입니다. 이 앱은 네 가지 배경화면 유형을 지원하는데, 그중 하나인 "애플리케이션 배경화면 (application wallpaper)"은 데스크톱 배경으로 실행되는 독립 실행형 Windows 프로그램입니다. 이는 또한 제3자 코드가 사용자의 기기에서 실행될 수 있는 경로가 되며, 공격자들이 바로 이 점을 악용했습니다.

Kaspersky는 두 가지 전달 방식을 관찰했습니다. 일부 패키지에서는 악성 EXE 파일, DLL 또는 스크립트가 합법적인 배경화면 파일과 함께 직접 배치되어 있었습니다. 다른 경우에는 페이로드 (payload)가 비밀번호로 보호된 압축 파일 안에 숨겨져 있었으며, 비밀번호는 압축 파일 이름이나 JSON 설정 파일에 포함되어 스크립트가 이를 자동으로 열 수 있도록 되어 있었습니다. 배경화면을 적용하면 페이로드가 실행되었습니다.

지난 12월에 조사된 샘플에서, 연구원들은 정상적인 데스크톱 게임을 실행하는 동시에 Synaptics.exe라는 이름의 DarkKomet 백도어 (backdoor)와 변조된 시스템 라이브러리인 AggregatorHost.dll을 은밀하게 드롭(drop)하는 데 성공했습니다. 해당 라이브러리는 실행 중인 Steam 앱을 찾아내고, 계정 자격 증명 (credentials)을 탐색하며, 활성화된 세션을 하이재킹 (hijack)한 뒤 해당 데이터를 명령 제어 (C2) 서버로 전송합니다. 활성 세션을 제어함으로써 공격자들은 피해자의 이름으로 새로운 악성 배경화면을 게시할 수 있으며, 이것이 바로 해당 캠페인이 차단된 이후에도 계속해서 재생성되는 이유입니다.

Kaspersky는 악성 다운로드 시도의 89%가 중국에서 발생했음을 확인했으며, 러시아가 5.5%로 그 뒤를 이었고 싱가포르, 홍콩, 독일, 베트남, 인도, 캐나다에서 적은 비중을 차지했습니다. 이러한 집중도는 중국에 크게 치우쳐 있는 Wallpaper Engine의 광범위한 사용자 기반과 일치합니다. 페이로드 (payload)는 DarkKomet 백도어, Lumma 및 Vidar 인포스틸러 (infostealer), RenEngine 로더 (loader), 채굴기 (miner), 그리고 랜섬웨어 (ransomware)에 이르기까지 다양했으며, 연구원들은 이러한 확산이 단일 위협 행위자나 그룹이 아닌, 동일한 기술을 활용하는 여러 독립적인 그룹들이 몰려든 결과라고 분석했습니다.

이는 지난 몇 년간 Valve의 스토어를 통해 플레이어들에게 도달한 일련의 멀웨어 (malware) 사례들의 연장선에 있습니다. 2023년 크리스마스에는 변조된 Slay the Spire 모드 (mod)가 창작마당 (Workshop)을 통해 유포되었고, 작년 7월에는 Chemia 얼리 액세스 (Early Access) 게임이 세 가지 멀웨어 변종과 함께 출시되었으며, BlockBlasters라는 타이틀은 이듬해 9월 플레이어들로부터 약 15만 달러를 갈취했습니다. 3월 현재, FBI는 2024년까지 거슬러 올라가는 감염된 Steam 게임의 피해자를 찾고 있습니다.

Google Preferred Source

최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 Google 뉴스에서 Tom's Hardware를 팔로우하거나, 즐겨찾는 소스로 추가하세요.

Tom's Hardware의 최고의 뉴스와 심층 리뷰를 이메일로 직접 받아보세요.

Luke James는 프리랜서 작가이자 저널리스트입니다. 법률 분야의 배경을 가지고 있지만, 기술의 모든 것, 특히 하드웨어와 마이크로일렉트로닉스 (microelectronics), 그리고 규제와 관련된 모든 것에 개인적인 관심을 가지고 있습니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Tom's Hardware의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0