Cảnh báo: Hình nền độc hại trên Steam đang đánh cắp tài khoản game thủ

Kể từ cuối năm 2025, mã độc đã lan truyền nhanh chóng thông qua Steam Workshop – dịch vụ tích hợp cho phép người chơi tạo và chia sẻ nội dung tùy chỉnh trên nền tảng game này. Kẻ tấn công chủ yếu nhắm vào game thủ tại Trung Quốc và Nga với mục tiêu chiếm đoạt tài khoản. Để thực hiện điều này, chúng đã khai thác lỗ hổng trong Wallpaper Engine, một ứng dụng hình nền động phổ biến trên Steam.

Mã độc được ẩn giấu bên trong các gói hình nền mà người dùng chia sẻ lẫn nhau. Việc chạy một trong những hình nền bị xâm nhập này có thể dẫn đến việc mất tài khoản Steam hoặc khiến hệ thống của nạn nhân bị nhiễm backdoor (cửa sau) và phần mềm đào tiền ảo (crypto miner).

Hình nền Steam

Wallpaper Engine và rủi ro từ "Application wallpapers"

Wallpaper Engine là ứng dụng cho phép người dùng đặt hình nền động trên máy tính, hỗ trợ nhiều định dạng như video, trang web và đặc biệt là "Application wallpapers" (hình nền dạng ứng dụng). Đây chính là điểm yếu nghiêm trọng.

Hình nền dạng ứng dụng về bản chất là các chương trình độc lập chạy trên máy tính. Chúng có thể là các mini-game, lịch, đồng hồ hoặc widget theo dõi phần cứng. Tính năng này cho phép thực thi mã lạ trực tiếp trên máy tính, tạo cơ hội cho tội phạm mạng nhúng mã độc vào bên trong.

Các nhà nghiên cứu bảo mật đã phát hiện hàng chục hình nền độc hại dạng ứng dụng trên Steam Workshop, mỗi cái đã được tải xuống hàng nghìn, thậm chí hàng chục nghìn lần. Kẻ tấn công thường ẩn mã độc trong các tệp nén có mật khẩu hoặc chèn trực tiếp vào tệp thực thi đi kèm hình nền.

Cơ chế tấn công tinh vi

Khi phân tích một mẫu hình nền game bị nhiễm độc phát hiện vào tháng 12/2025, các chuyên gia nhận thấy bề ngoài nó hoàn toàn vô hại. Game chạy mượt mà, điều khiển hoạt động bình thường. Tuy nhiên, ở hậu trường, quá trình nhiễm độc đang diễn ra mạnh mẽ.

Giao diện hình nền bị nhiễm mã độc

Sau khi khởi chạy, hình nền này thả một tệp backdoor tên là Synaptics.exe (thuộc họ mã độc DarkKomet) vào hệ thống. Đồng thời, nó cài đặt một phiên bản tùy chỉnh của thư viện hệ thống AggregatorHost.dll. Mục tiêu của thư viện này là định vị ứng dụng Steam trên máy tính và săn lùng thông tin đăng nhập.

Thư viện đã bị sửa đổi này sẽ chiếm đoạt phiên đăng nhập (session) đang hoạt động của người dùng và gửi dữ liệu về máy chủ của hacker. Khi đã có quyền kiểm soát, kẻ tấn công có thể sử dụng tài khoản nạn nhân để tải lên thêm nhiều hình nền độc hại khác lên Steam Workshop.

Phân bố nạn nhân và lời khuyên bảo mật

Dựa trên dữ liệu thu thập được, 89% nạn nhân nằm tại Trung Quốc, nơi phong cách nghệ thuật của hình nền được thiết kế để thu hút người dùng địa phương. Nga đứng thứ hai với 5,5%. Đáng chú ý, Việt Nam cũng nằm trong danh sách các quốc gia bị ảnh hưởng với tỷ lệ 0,9%, cùng với Singapore, Đức và Ấn Độ.

Thống kê tải xuống mã độc theo khu vực

Mặc dù đội ngũ Steam đã xóa bỏ các hình nền và liên kết độc hại được xác định, nhưng nguy cơ vẫn hiện hữu do các hình nền mới liên tục xuất hiện. Người dùng không nên chỉ dựa vào nền tảng để lọc mọi rủi ro.

Để bảo vệ mình, bạn nên:

• Cẩn trọng khi tải và áp dụng các hình nền dạng ứng dụng từ Steam Workshop.
• Sử dụng phần mềm antivirus có tính năng bảo mật chủ động để quét các tệp tải xuống trước khi thực thi.
• Theo dõi các hoạt động bất thường trên tài khoản Steam và hệ thống máy tính.

Các giải pháp bảo mật hiện đại có khả năng phát hiện và chặn các payload này (như DarkKomet, Lumma, Vidar) nhờ các lớp bảo mật đa dạng, bất kể chúng được đóng gói tinh vi đến đâu.