Popüler dijital oyun platformu Steam, son günlerde siber güvenlik dünyasını alarma geçiren yeni bir tehlikeyle karşı karşıya. Eğer masaüstünüzü hareketlendirmek için milyonlarca oyuncunun tercih ettiği Wallpaper Engine uygulamasını kullanıyorsanız, hesabınız büyük bir risk altında olabilir. Siber güvenlik devi Kaspersky tarafından hazırlanan yeni bir rapora göre, siber saldırganlar bu popüler aracı kullanarak hesapları ele geçiriyor ve zararlı yazılımlarını adeta bir virüs gibi sistemden sisteme bulaştırıyor.

Peki, oldukça masum görünen hareketli bir duvar kağıdı, nasıl oluyor da devasa bir siber güvenlik tehdidine dönüşüyor? Gelin, bu karmaşık saldırı kampanyasının perde arkasına birlikte göz atalım.

Hareketli Duvar Kağıtlarının Arkasına Saklanan Tehlike

Kaspersky araştırmacıları Maxim Starodubov ve Denis Brylev tarafından yayımlanan güncel rapora göre, bu kötü amaçlı yazılım kampanyası geçtiğimiz yılın sonlarından bu yana aktif bir şekilde faaliyet gösteriyor. Saldırganların hedefinde ise direkt olarak Steam oyuncuları var.

Normal şartlarda sadece 4.99 dolar gibi uygun bir fiyata satılan ve Steam'in en çok kullanılan oyun dışı uygulamalarından biri olan Wallpaper Engine, anlık olarak 100 binin üzerinde kullanıcıya ev sahipliği yapıyor. Uygulama, kullanıcılara dört farklı formatta duvar kağıdı sunuyor. Bunlardan biri olan "uygulama duvar kağıdı" (application wallpaper) formatı, aslında arka planda çalışan bağımsız ve çalıştırılabilir bir Windows programı (.exe) niteliği taşıyor. İşte siber suçluların tam olarak istismar ettiği açık da bu oldu.

Saldırı Nasıl Gerçekleşiyor?

Araştırmacılar, zararlı kodların kurbanların bilgisayarlarına sızmak için iki temel yöntem kullandığını tespit etti:

• Doğrudan Yerleştirme: Kötü amaçlı çalıştırılabilir (.exe) dosyalar, DLL kütüphaneleri veya betikler, yasal ve temiz görünen duvar kağıdı dosyalarının hemen yanına gizleniyor.

• Şifreli Arşivler: Zararlı yazılım, şifre korumalı bir arşiv dosyasının içine saklanıyor. Şifre ise arşivin adında ya da bir JSON yapılandırma dosyasında bulunuyor. Böylece bir komut dosyası, arşivi otomatik olarak açıp sistemi enfekte edebiliyor.

Kullanıcı, indirdiği bu özel duvar kağıdını masaüstüne uyguladığı anda arka planda zararlı yazılım çalışmaya başlıyor. Örneğin incelenen bir vakada, duvar kağıdı uygulanırken arka planda DarkKomet adlı bir arka kapı (backdoor) truva atı (Synaptics.exe) ve değiştirilmiş bir sistem kütüphanesi (AggregatorHost.dll) sisteme sızdırıldı. Bu kütüphane, aktif Steam uygulamasını buluyor, hesap kimlik bilgilerini avlıyor, oturumu ele geçiriyor ve tüm bu verileri saldırganların kontrol sunucusuna gizlice gönderiyor.

Zombi Hesaplar ile Büyüyen Bir Ağ

Bu saldırının en korkutucu yanlarından biri ise kendini çoğaltma yöntemi. Ele geçirilen aktif Steam oturumları sayesinde saldırganlar, kurbanın adını kullanarak Steam Atölyesi'ne (Workshop) yeni virüslü duvar kağıtları yüklüyor. Bu sayede, Steam yönetimi zararlı bir içeriği kaldırsa bile, kampanya başka hesaplar üzerinden kendini yeniden üreterek yayılmaya devam ediyor.

Hedefte Kimler Var?

Saldırıların coğrafi dağılımına bakıldığında, Wallpaper Engine'in devasa kullanıcı kitlesiyle orantılı bir tablo ortaya çıkıyor. İndirme denemelerinin %89'u Çin'de gerçekleşirken, onu %5,5 ile Rusya takip ediyor. Listede ayrıca Singapur, Almanya, Hindistan ve Kanada gibi ülkeler de yer alıyor.

Saldırganların kurbanlarına bulaştırdığı zararlı yazılımlar arasında sadece hesap hırsızları (Lumma ve Vidar) değil; aynı zamanda kripto para madenciliği yazılımları (coin miners) ve fidye yazılımları (ransomware) da bulunuyor. Uzmanlar, tek bir hacker grubundan ziyade, birden fazla bağımsız siber suç çetesinin bu zafiyeti aynı anda kullandığını düşünüyor.

Steam ve Bitmeyen Güvenlik Mücadelesi

Aslında bu, Valve'ın dijital mağazasının zararlı yazılımlarla ilk imtihanı değil. Hatırlayacağınız üzere 2023 yılının Noel gününde popüler oyun Slay the Spire için hazırlanan bir mod üzerinden oyunculara virüs bulaştırılmıştı. Yine geçtiğimiz yıl piyasaya sürülen Chemia adlı Erken Erişim oyunu üç farklı malware barındırırken, BlockBlasters isimli oyun oyuncuların cebinden yaklaşık 150.000 dolar çalmayı başarmıştı. FBI, bu tür Steam bağlantılı vakaların kurbanlarını araştırmaya devam ediyor.

Editör Tavsiyesi: Steam Atölyesi her ne kadar topluluk içerikleriyle harika bir ekosistem sunsa da, indireceğiniz "uygulama (executable)" tabanlı modlar ve duvar kağıtları konusunda ekstra dikkatli olmanızı, kaynağı belirsiz içeriklerden uzak durmanızı ve iyi bir antivirüs yazılımı kullanmanızı tavsiye ediyoruz.

Kaynak: Tomshardware