Kaspersky avertit que l'application Wallpaper Engine a été utilisée pour diffuser des malwares auprès de millions d'utilisateurs : des dizaines de fonds d'écran malveillants ont été découverts sur Steam WorkshopLes chercheurs de Kaspersky ont mis au jour une campagne de logiciels malveillants ciblant des millions d’utilisateurs de Wallpaper Engine par le biais de fonds d’écran malveillants diffusés sur Steam Workshop. Les pirates informatiques ont exploité la fonctionnalité de partage via Workshop de l’application pour dissimuler des malwares, notamment des portes dérobées, des infostealers, des ransomwares et des mineurs de cryptomonnaie, au sein des paquets de fonds d’écran. Cette campagne touche des utilisateurs du monde entier, la plupart des téléchargements ayant été enregistrés en Chine. Bien que Steam ait supprimé les menaces connues, de nouveaux fichiers malveillants continuent d’apparaître, mettant ainsi en danger les comptes et les systèmes des joueurs.
Les chercheurs de Kaspersky ont identifié une campagne de logiciels malveillants exploitant le contenu de Steam Workshop pour Wallpaper Engine, la célèbre application de fonds d’écran animés et vidéo, qui est également l’application non ludique la plus populaire de Steam, avec un nombre d’installations estimé entre 20 et 50 millions. Les pirates ont exploité la fonctionnalité « fond d'écran d'application » de l'application, qui permet aux fonds d'écran de s'exécuter comme des programmes Windows autonomes, afin de diffuser des paquets malveillants contenant des fichiers EXE, des DLL et des scripts dissimulés parmi des fichiers de fonds d'écran légitimes.
Certains paquets dissimulaient également des logiciels malveillants dans des archives protégées par mot de passe, les mots de passe étant inclus dans les noms des archives ou dans des fichiers de configuration JSON afin que des scripts puissent extraire automatiquement les charges utiles. Parmi les charges utiles signalées figurent la porte dérobée DarkKomet, les infostealers Lumma et Vidar, le chargeur RenEngine, des mineurs de cryptomonnaie et des ransomwares.
Kaspersky indique que cette activité semble impliquer plusieurs groupes criminels indépendants utilisant des méthodes similaires, plutôt qu’un seul acteur malveillant. Il est à noter que bon nombre des exemples partagés par la société semblaient comporter des fonds d'écran représentant des personnages féminins de style anime. Les utilisateurs qui apprécient cet univers ont donc tout intérêt à vérifier leur système.
« Depuis fin 2025, un logiciel malveillant se propage rapidement via Steam Workshop, le service intégré à la plateforme de jeux vidéo permettant aux joueurs de créer et de partager du contenu personnalisé », ont déclaré les chercheurs de Kaspersky. « Les pirates ciblent principalement les joueurs en Chine et en Russie, dans le but de pirater leurs comptes. Pour y parvenir, ils exploitent Wallpaper Engine en tirant spécifiquement parti de sa fonctionnalité de partage via Workshop. Le logiciel malveillant est dissimulé dans les packs de fonds d’écran que les utilisateurs se partagent entre eux. L'exécution de l'un de ces fonds d'écran compromis peut entraîner le vol du compte Steam ou infecter le système de la victime avec des portes dérobées ou des mineurs de cryptomonnaie. »
Qu'est-ce que Wallpaper Engine ?
Wallpaper Engine est une application qui permet aux utilisateurs d’afficher des fonds d’écran animés sur leur bureau. Elle est disponible à la fois sur Windows et Android, bien que l'étude de Kaspersky se soit strictement concentrée sur la version Windows. Grâce à une immense communauté Steam, l’application est très populaire, avec environ 100 000 utilisateurs actifs quotidiens et près d’un million d’avis. Elle intègre un éditeur permettant aux utilisateurs de créer leurs propres designs, et prend en charge plusieurs types de fonds d’écran :
- Vidéos : MP4, WebM et autres formats vidéo courants,
- Scènes : fonds d’écran interactifs créés à l’aide de l’éditeur intégré à l’application,
- Pages Web : pages HTML utilisant JavaScript et CSS, pouvant également inclure des éléments audio et vidéo,
- Applications : fenêtres actives issues de logiciels tiers compatibles avec Windows que Wallpaper Engine définit comme fond d’écran de l’utilisateur.
Selon Kaspersky, c'est avec ce dernier type, les fonds d'écran applicatifs, que les choses deviennent risquées, car il s'agit essentiellement de programmes autonomes. Il peut s'agir aussi bien de mini-jeux auxquels les utilisateurs peuvent jouer directement sur leur bureau que d'agendas, de calendriers, d'outils de surveillance du système ou de widgets permettant de suivre l'utilisation du processeur ou de la carte graphique.
Fonds d'écran applicatifs : un risque de sécurité inhérent
Le concept même des « fonds d’écran applicatifs » permet, en substance, d’exécuter du code externe directement sur l'ordinateur d'un utilisateur. Les cybercriminels ont repéré cette fonctionnalité et ont commencé à intégrer des logiciels malveillants directement dans ce type de fonds d’écran. Comme Wallpaper Engine s’appuie sur Steam Workshop pour le partage de contenu, n’importe qui peut créer un fond d’écran et le publier afin que la communauté puisse le télécharger et l’installer gratuitement. Naturellement, ce système attire comme un aimant les acteurs malveillants.
Les chercheurs de Kaspersky ont découvert des dizaines de ces fonds d'écran malveillants sur Steam Workshop, et chacun d'entre eux avait déjà été téléchargé des milliers, voire des dizaines de milliers de fois.
Lorsque l'équipe de Kaspersky les a analysés, elle a identifié deux méthodes différentes utilisées par les pirates pour propager leur logiciel malveillant :
- Une archive contenant le fond d'écran exécutable ainsi que les fichiers malveillants. Cette charge utile se composait généralement de fichiers EXE compromis, de DLL ou de scripts malveillants.
- Dans d’autres cas, les attaquants ont surpris leurs victimes en dissimulant le logiciel malveillant dans une archive protégée par mot de passe. Soit la victime était amenée à saisir le mot de passe, soit un script s’en chargeait automatiquement. Les attaquants cachaient le mot de passe à la vue de tous, soit directement dans le nom de l’archive, soit dans un fichier de configuration JSON installé en même temps que d’autres fichiers de fond d’écran. Pour toutes les autres variantes, la charge utile se déclenchait automatiquement lorsque l’utilisateur sélectionnait et appliquait le fond d’écran.
intérieur d'un fond d'écran de jeu infecté
Kaspersky a indiqué qu'à première vue, l'échantillon de fond d'écran ci-dessous, découvert en décembre 2025, semblait tout à fait inoffensif. Une fois lancé, rien ne laisse présager quoi que ce soit de suspect. Le jeu intégré démarre sans problème, fonctionne sans accroc et les commandes du bureau répondent parfaitement.
Écran principal du fond d'écran applicatif
Cependant, une infection à grande échelle est en cours en coulisses. En l’espace de quelques minutes seulement, un utilisateur peut soudainement se rendre compte que son compte Steam a été piraté, que son ordinateur est paralysé par un logiciel malveillant, que ses fichiers ont été chiffrés par un rançongiciel ou que les performances de son système sont en chute libre à cause d’un mineur de cryptomonnaie caché.
Comment le logiciel malveillant s'installe
Selon les chercheurs de Kaspersky, une fois que le fond d'écran du jeu s'ouvre, il installe directement dans le système de la victime un fichier de porte dérobée appelé Synaptics.exe (appartenant à la famille de logiciels malveillants DarkKomet). Parallèlement, un fichier exécutable nommé ._cache_GAME1.exe se lance pour démarrer le jeu proprement dit, NTRaholic.
Mais ce module ._cache_GAME1.exe remplit une double fonction. Il installe simultanément une version personnalisée d'une bibliothèque système appelée AggregatorHost.dll, qui contient une charge utile. Cette bibliothèque modifiée a un objectif principal : localiser l'application Steam sur l'ordinateur et rechercher les identifiants de compte.
Recherche de l'application Steam
Ensuite, la bibliothèque modifiée prend le contrôle de la session Steam en cours de l'utilisateur.
Détournement de la session Steam
Par la suite, le fichier AggregatorHost.dll compromis envoie toutes les données collectées vers un serveur contrôlé par les pirates à l'adresse hxxp://120.48.156[.]17/ey.php. Une fois que les attaquants ont pris le contrôle de cette session active, ils peuvent utiliser le compte de la victime pour publier encore davantage de fonds d'écran malveillants sur Steam Workshop.
Attribution et victimes
Le fond d’écran de jeu décrit plus haut n’est qu’un exemple parmi les nombreuses variantes que l'équipe de Kaspersky a découvert au cours de ses recherches. En détournant la fonctionnalité de fond d’écran applicatifs, les cybercriminels ont réussi à diffuser pratiquement tous les types de logiciels malveillants existants, des infostealers et portes dérobées les plus courants aux mineurs de cryptomonnaie et chargeurs de botnets.
Kaspersky estime qu'il ne s'agit pas de l’œuvre d’un seul cerveau, étant donné la grande diversité des outils utilisés. Selon la société, plusieurs groupes de pirates informatiques indépendants et dispersés surfent tous sur la même vague.
Téléchargements de fonds d'écran malveillants par région
L'étude de Kaspersky indique que les principales cibles sont les joueurs chinois, car les styles graphiques et les titres des fonds d’écran sont spécialement adaptés à ce public. Les données confirment également que pas moins de 89 % des tentatives de téléchargement malveillantes proviennent de ce pays, bien que rien n’empêche les attaquants de changer de cible et de lancer une campagne similaire dans n’importe quelle autre partie du monde. Selon Kaspersky, la Russie arrive en deuxième position en termes de nombre total de téléchargements avec 5,5 %, suivie d’une poignée d’autres pays et territoires : Singapour (1,4 %), Hong Kong (0,9 %), l’Allemagne (0,9 %), le Vietnam (0,9 %), l’Inde (0,5 %) et le Canada (0,5 %).
L'équipe de Steam a déjà supprimé les fonds d'écran et les liens malveillants identifiés. Mais de nouveaux packs infectés continuent d'apparaître sur le Steam Workshop. Kaspersky recommande fortement d'effectuer une analyse antivirus sur ce type de fonds d'écran avant de les appliquer.
Source : Kaspersky
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette recherche de Kaspersky crédibles ou pertinentes ?Voir aussi :
« Réfléchissez avant de poser en faisant des signes de la main » : des experts en cybersécurité mettent en garde contre le vol d'empreintes digitales à partir de photos où l'on fait le signe « V »
Le célèbre logiciel DAEMON Tools a été infecté : une attaque de la chaîne d'approvisionnement est en cours depuis avril 2026 via les programmes d'installation distribués depuis le site officiel
60 % des mots de passe hachés en MD5 pourraient être piratés en moins d'une heure à l'aide d'une seule carte graphique Nvidia RTX 5090, et 48 % en moins d'une minute, d'après Kaspersky
Vous avez lu gratuitement 293 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.