Kaspersky เตือนมาลแวร์ฝังในภาพแอนิเมะของ Wallpaper Engine บน Steam Workshop

การศึกษาความปลอดภัยของ Kaspersky เผยว่ามัลแวร์หลายชุดได้ถูกฝังไว้ในไฟล์ภาพพื้นหลังแบบแอนิเมชันของ Wallpaper Engine ที่เผยแพร่บน Steam Workshop โดยผู้ใช้จำนวนหลายพันคนได้ดาวน์โหลดไฟล์เหล่านี้โดยไม่รู้ว่าตัวเองกำลังติดตั้งซอฟต์แวร์อันตราย ซึ่งอาจทำให้ข้อมูลส่วนตัวและบัญชี Steam ถูกขโมยได้

Overview

Kaspersky ระบุว่าไฟล์ภาพพื้นหลังที่มีลักษณะเป็นภาพหญิงอนิเมะสีชมพูอุ่น ๆ ถูกใช้เป็นช่องทางส่งมอบมัลแวร์ให้กับผู้ใช้ Windows ผ่านแอปพลิเคชัน Wallpaper Engine ซึ่งอนุญาตให้รันโค้ดแบบ executable ภายในแพคเกจพื้นหลังได้โดยตรง การผสมผสานระหว่างศิลปะดิจิทัลและฟังก์ชันการทำงานของระบบทำให้ผู้ใช้หลายคนอาจไม่สังเกตเห็นความผิดปกติจนกว่าข้อมูลของพวกเขาจะถูกขโมย

การกระทำนี้เป็นตัวอย่างใหม่ของการใช้ “คอนเทนต์ที่ดูปลอดภัย” เพื่อหลบหลีกการตรวจสอบของซอฟต์แวร์ป้องกันและระบบความปลอดภัยของผู้ใช้ เนื่องจาก Wallpaper Engine รองรับไฟล์ที่มีการทำงานแบบอินเทอร์แอคทีฟและแอนิเมชัน จึงเป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี

How the Malware Works

เมื่อผู้ใช้ติดตั้งพื้นหลังที่มีมัลแวร์ แอปพลิเคชันจะทำการรันโค้ดที่ฝังอยู่ในแพคเกจโดยอัตโนมัติ โค้ดเหล่านี้อาจทำงานในพื้นหลังโดยไม่มีสัญญาณเตือนใด ๆ เช่นการเปิดเกมเดโมบนเดสก์ท็อปที่ดูเหมือนเป็นส่วนหนึ่งของภาพพื้นหลัง

Kaspersky ให้ข้อมูลว่าตัวอย่างหนึ่งที่พบในเดือนธันวาคม 2025 ทำหน้าที่เหมือนเกมเดโมที่เปิดขึ้นบนหน้าจอ แต่ในขณะเดียวกันก็ทำการติดตั้ง DarkKomet backdoor และไลบรารีที่แก้ไขแล้วเพื่อดักจับข้อมูลบัญชี Steam ของผู้ใช้ การขโมยข้อมูลนี้รวมถึงการเก็บข้อมูลเข้าสู่ระบบและการขโมย session ที่กำลังใช้งานอยู่

การทำงานของมัลแวร์จึงเป็นแบบ “สองหน้า” – ปรากฏเป็นเนื้อหาที่สนุกสนานสำหรับผู้ใช้ขณะเดียวกันก็เป็นเครื่องมือที่ช่วยให้ผู้โจมตีเข้าถึงระบบของเหยื่อได้อย่างลับ ๆ

Distribution Methods

Kaspersky แบ่งวิธีการที่ผู้โจมตีใช้ในการฝังมัลแวร์ลงในแพคเกจพื้นหลังออกเป็นสองรูปแบบหลัก

• การบรรจุไฟล์ executable ที่เป็นอันตรายไว้ภายในแพคเกจพื้นหลังโดยตรง
• การซ่อนไฟล์อันตรายใน archive ที่ตั้งรหัสผ่านไว้ โดยรหัสผ่านจะฝังอยู่ในชื่อไฟล์ archive หรือไฟล์ configuration

ในกรณีของ archive ที่ตั้งรหัสผ่าน ผู้ใช้ที่ดาวน์โหลดและติดตั้งพื้นหลังอาจไม่ได้สังเกตเห็นการมีรหัสผ่าน จึงทำให้การรันโค้ดอันตรายเกิดขึ้นโดยอัตโนมัติเมื่อแอปพลิเคชันทำการแตกไฟล์

Affected Regions

ตามข้อมูลของ Kaspersky ผู้ใช้ที่ได้รับผลกระทบส่วนใหญ่เป็นผู้ใช้ในประเทศต่อไปนี้

• จีน
• รัสเซีย

นอกจากนี้ยังมีรายงานผู้ใช้จากสิงคโปร์, ฮ่องกง, เยอรมนี, เวียดนาม, อินเดีย และแคนาดาที่ได้รับไฟล์พื้นหลังที่ติดมัลแวร์เช่นกัน

การกระจายที่กว้างขวางนี้แสดงให้เห็นว่าผู้โจมตีไม่ได้จำกัดเป้าหมายไว้เพียงภูมิภาคเดียว แต่พยายามเข้าถึงผู้ใช้ทั่วโลกที่สนใจในภาพพื้นหลังสไตล์อนิเมะ

Threat Landscape

Kaspersky สรุปว่าแคมเปญนี้ไม่ได้มาจากกลุ่มผู้โจมตีเดียวที่ประสานงานกันอย่างเป็นระบบ แต่เป็นผลของ หลายกลุ่มอิสระ ที่ใช้วิธีการคล้ายกันเพื่อมุ่งหวังผลประโยชน์จากผู้ใช้ที่ชื่นชอบคอนเทนต์อนิเมะบน Steam Workshop

การใช้ Wallpaper Engine เป็นช่องทางใหม่ทำให้แสดงให้เห็นว่าผู้โจมตีกำลังมองหาแอปพลิเคชันที่ให้สิทธิ์การรันโค้ดบนเครื่องผู้ใช้เป็นวิธีการขยายโจมตี การตรวจสอบและอัปเดตซอฟต์แวร์อย่างสม่ำเสมอจึงเป็นขั้นตอนสำคัญในการลดความเสี่ยง

Mitigation

ผู้ใช้ที่ต้องการป้องกันตนเองจากภัยคุกคามนี้ควรทำตามขั้นตอนต่อไปนี้

• ตรวจสอบความน่าเชื่อถือของผู้สร้างพื้นหลังบน Steam Workshop ก่อนดาวน์โหลด
• เปิดใช้การแจ้งเตือนของซอฟต์แวร์แอนตี้ไวรัสและให้แน่ใจว่าอัปเดตฐานข้อมูลล่าสุด
• หลีกเลี่ยงการติดตั้งไฟล์ที่มีการบีบอัดแบบตั้งรหัสผ่านหากไม่ทราบแหล่งที่มาชัดเจน
• หากสงสัยว่ามีการติดตั้งมัลแวร์แล้ว ควรสแกนระบบโดยทันทีและเปลี่ยนรหัสผ่านบัญชี Steam

การรักษาความปลอดภัยในระดับผู้ใช้ยังคงเป็นแนวทางสำคัญเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลและการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต

Summary

Kaspersky พบว่ามัลแวร์หลายชุดถูกฝังในไฟล์ภาพพื้นหลังแอนิเมชันของ Wallpaper Engine บน Steam Workshop และได้ถูกดาวน์โหลดหลายพันครั้ง การกระทำนี้แสดงให้เห็นถึงการใช้คอนเทนต์ดิจิทัลเป็นช่องทางโจมตีใหม่ ผู้ใช้ควรตรวจสอบแหล่งที่มาของไฟล์และใช้ซอฟต์แวร์ป้องกันเพื่อหลีกเลี่ยงความเสี่ยง.