Đừng tải lung tung hình nền anime trên Steam! Hội thảo Wallpaper Engine bị đầu độc, chỉ trộm ví mã hóa

Kaspersky chỉ ra rằng, xưởng phần mềm "Xe Đỏ Nhỏ" của Steam đã bị tấn công bởi phần mềm độc hại, kẻ xấu lợi dụng hình nền hoạt hình nữ để đánh cắp dữ liệu tài khoản người dùng và ví tiền mã hóa, nhiều trò chơi độc lập và MOD cũng trở thành công cụ chứa mã độc.

Xưởng Wallpaper Engine của Steam bị đầu độc

Công ty an ninh mạng Kaspersky (Kaspersky) gần đây cho biết, có kẻ xấu đang lợi dụng chức năng xưởng Steam của trình duyệt hình nền động Wallpaper Engine (thường gọi là: Xe Đỏ Nhỏ) để phát tán phần mềm độc hại.

Hình nền bị đầu độc chủ yếu là các nhân vật hoạt hình nữ, đã tích lũy hàng chục nghìn lượt tải, nạn nhân chủ yếu tập trung ở Trung Quốc (chiếm 89.4%) và Nga (chiếm 5.5%), phần còn lại phân bổ ở Singapore, Hong Kong, Đức và các nơi khác.

Chuyên gia an ninh của Kaspersky Maxim Starodubov cho biết, đợt tấn công này lợi dụng sự tin tưởng của người dùng vào hệ sinh thái hợp pháp của chính thức, các phần tử xấu có thể tiếp cận nhiều nạn nhân tiềm năng qua nội dung có vẻ vô hại.

Nguồn hình: Chụp màn hình Steam, trình duyệt hình nền động Wallpaper Engine (thường gọi là: Xe Đỏ Nhỏ)

Hình nền động độc hại chứa mã độc, đánh cắp dữ liệu tài khoản và ví tiền mã hóa

Kaspersky giải thích thêm, các hình nền độc hại bị đầu độc chủ yếu sử dụng định dạng ứng dụng (Application) mà Wallpaper Engine hỗ trợ, định dạng này cho phép tệp thực thi chạy trực tiếp trên Windows, phương thức tấn công chủ yếu gồm hai cách:

1. Gắn mã độc, DLL và script trực tiếp vào gói hình nền
2. Giấu phần mềm độc hại trong tệp nén có mật khẩu, sau đó tự động giải nén và thực thi qua script

Kaspersky lấy ví dụ, vào tháng 12 năm 2025, họ phát hiện hình nền độc hại có thể khởi động trò chơi trên desktop bình thường, nhưng bên trong âm thầm triển khai phần mềm backdoor DarkKomet, thu thập thông tin tài khoản Steam của người dùng và chiếm quyền phiên đăng nhập (Session).

Các hình nền độc hại này do nhiều mối đe dọa độc lập cung cấp, phát tán phần mềm đánh cắp thông tin Lumma và Vidar, chuyên lấy cắp chứng chỉ, dữ liệu trình duyệt và ví tiền mã hóa.

Nguồn hình: Kaspersky, ví dụ hình nền động Wallpaper Engine bị đầu độc

Vào tháng 12 năm 2025, Kaspersky cũng từng báo cáo các trường hợp tương tự, khi đó có một nhóm phần mềm giả mạo phần mềm bạo hành hoặc mod chỉnh sửa game (MOD) phát tán trên mạng, cũng nhằm mục đích đánh cắp tiền mã hóa của nạn nhân và bắt buộc cài đặt phần mềm đào coin.

Phần mềm độc hại xâm nhập Steam không phải là trường hợp đầu tiên, nhiều trò chơi độc lập cũng trở thành công cụ chứa mã độc

Không chỉ qua xưởng, trong những năm gần đây, Steam còn xuất hiện nhiều trò chơi độc lập chứa virus.

Ví dụ, vào tháng 7 năm 2025, công ty an ninh mạng Prodaft chỉ ra rằng, một trò chơi tên là 《Chemia》 trên Steam đã bị xâm nhập và dùng để phát tán các phần mềm độc hại như Hijack Loader, Fickle Stealer và Vidar Stealer, mục tiêu tấn công chủ yếu là ví tiền mã hóa và dữ liệu cá nhân.

Cục Điều tra Liên bang Mỹ (FBI) cũng đã vào cuộc, và tháng 3 năm nay tuyên bố đang điều tra các vụ phát tán phần mềm độc hại qua nhiều trò chơi trên Steam. Danh sách các vụ liên quan ngoài 《Chemia》 còn có 《PirateFi》, 《BlockBlasters》, 《Dashverse》 và các trò chơi khác.

• **Báo cáo liên quan: **Sự cố an ninh mạng gây chấn động Steam! Tải 《Chemia》 là bị nhiễm độc, chuyên đánh cắp ví tiền mã hóa

Với số lượng người chơi game toàn cầu đông đảo, cộng đồng MOD còn lớn hơn nữa, nên đa số người chơi không quá cảnh giác với phần mềm chính của trò chơi, MOD hoặc nội dung trong xưởng. Kaspersky kêu gọi người dùng cần cảnh giác khi tải nội dung do người chơi tạo ra, trước khi cài đặt nên kiểm tra danh tiếng của nhà sáng tạo, và dựa vào phần mềm diệt virus để phát hiện mối đe dọa.