Ruský antivirus Kaspersky odhalil malware na Steamu. Krade účty a šíří se, má více než 10 tisíc stažení

Desítky škodlivých tapet pro Wallpaper Engine kradly hráčům přihlášení ke Steamu a z ukradených účtů se šířily dál. Některé balíčky měly desetitisíce stažení.

Zdroj fotografie: Steam

Bezpečnostní firma Kaspersky, založená v roce 1997 v Moskvě Jevgenijem Kasperským, zveřejnila 16. června 2026 na svém výzkumném portálu Securelist podrobnou analýzu kampaně, která zneužívala Steam Workshop – konkrétně komunitní obsah pro populární aplikaci Wallpaper Engine. Nejde o virus v samotném klientovi Steamu ani o kompromitaci herních souborů. Útočníci nahráli do Workshopu desítky takzvaných „application wallpapers“, tedy tapet, které se na první pohled tváří jako běžný vizuální doplněk plochy, ale ve skutečnosti obsahují spustitelný kód. Jednotlivé škodlivé balíčky podle Kaspersky zaznamenaly tisíce až desetitisíce stažení; přesný celkový počet firma nezveřejnila, ale řádově jde určitě o desítky tisíc celkem, pokud vezmeme v potaz všechny balíčky. Kaspersky má navíc evropské zastoupení i kontaktní místo v Praze, takže se varování týká i českých uživatelů, přestože Česko mezi nejvíce zasaženými zeměmi nefiguruje.

Tapeta spustí nebezpečný backdoor

Klíč k pochopení celé kampaně je v detailu, který mnoho uživatelů nezná. Wallpaper Engine rozlišuje několik typů tapet: video, scény a právě „application“. Tento typ je podle oficiální dokumentace Wallpaper Engine ve skutečnosti spouštěný program, nikoli běžný grafický obsah.

Kaspersky popsal konkrétní případ. Po spuštění infikované tapety se do systému nainstaloval backdoor DarkComet pod názvem Synaptics.exe. Současně se spustil i legitimně vypadající proces přes soubor _cache_GAME1.exe, takže uživatel viděl funkční obsah a neměl důvod k podezření. Na pozadí se mezitím aktivovala knihovna AggregatorHost.dll, která vyhledala běžící Steam, sbírala informace o účtu a převzala aktivní session. Díky tomu nebylo nutné znovu zadávat heslo. Data byla následně odesílána na řídicí servery útočníků.

V kampani se ale neobjevil jen DarkComet. Kaspersky identifikoval také infostealery Lumma a Vidar, nástroj RenEngine, kryptoměnové minery, botnetové loadery a dokonce i ransomwarové komponenty. Taková škála nástrojů naznačuje, že nešlo o jednu skupinu, ale spíše o více aktérů využívajících stejný distribuční kanál.

Ukradený účet je jako továrna pro další nákazu

Nejzávažnější vlastností kampaně je způsob jejího šíření. Jakmile útočníci získali aktivní Steam session, mohli kompromitovaný účet využít k nahrávání dalších škodlivých tapet do Workshopu. Profil s historií, odběrateli a aktivitou působil důvěryhodněji než nový účet bez reputace. Vznikl tak samopropagační cyklus: stažení → infekce → krádež session → nahrání další tapety → další stažení.

Škálování usnadňuje samotná velikost ekosystému. Steam Workshop pokrývá přes 3 000 her a obsahuje desítky milionů položek, které denně využívají miliony uživatelů. Wallpaper Engine sám uvádí stovky tisíc dostupných tapet. V takovém objemu se škodlivý obsah snadno ztratí, zejména pokud je moderace Workshopu spíše reaktivní než plošná.

Kaspersky následně upřesnil, že škodlivé tapety byly aktivní minimálně od srpna 2025, tedy téměř rok před zveřejněním analýzy. V době publikace již Steam identifikované položky odstraňoval.

Nejde o ojedinělý případ

Tato kampaň není prvním incidentem v prostředí Steamu. V červenci 2025 bezpečnostní firma Prodaft, jak citoval BleepingComputer, odhalila, že do early-access hry Chemia byl vložen malware v podobě infostealerů HijackLoader a Vidar, připisovaný aktérovi EncryptHub/Larva-208.

Další případ představovala hra Block Blasters; forenzní analýza komunity vx-underground zdokumentovala 405 obětí a malware, který na platformě zůstal aktivní přibližně měsíc.

Trend potvrzuje i FBI. Její kancelář v Seattlu v roce 2026 spustila formulář pro hlášení incidentů spojených se Steam malwarem a uvedla sedm titulů z období květen 2024 až leden 2026. Kampaň kolem Wallpaper Engine se liší vektorem útoku: nejde o infikovaný herní build, ale o komunitní obsah ve Workshopu, který uživatelé nevnímají jako klasický software.

Co dělat, když máte Wallpaper Engine

Největší riziko se týká uživatelů Windows, kteří si ve Workshopu odebírali „application“ tapety od neznámých autorů. Pokud mezi ně patříte, je vhodné provést několik kroků:

• V seznamu tapet klikněte pravým tlačítkem a zvolte „Otevřít v Průzkumníku“. Hledejte podezřelé soubory typu EXE nebo DLL, například Synaptics.exe nebo AggregatorHost.dll.
• Obsah Workshopu Wallpaper Engine se standardně ukládá do složky steamapps\workshop\content\431960. Tuto složku nemažte ručně, protože ji Steam spravuje automaticky a zásah může narušit funkčnost odběrů.
• Spusťte kompletní antivirovou kontrolu ještě před změnou hesla. Samotná změna hesla bez vyčištění systému problém nevyřeší, protože malware může zachytit nové přihlášení.
• Teprve po vyčištění změňte heslo ke Steamu i k přidruženému e-mailu. Pokud máte podezření na kompromitaci účtu, využijte oficiální postup Steam Support pro obnovu účtu.

Podle regionálních dat Kaspersky směřovalo 89 % pokusů o stažení škodlivého obsahu do Číny, 5,5 % do Ruska, další podíly pak do Singapuru, Hongkongu, Německa, Vietnamu, Indie a Kanady. Česko ve výčtu nefiguruje, ale protože je Workshop globální, nulové riziko to pro české uživatele rozhodně neznamená.

Celá kampaň ukazuje jednu zásadní věc: na Steamu neexistuje „jen tapeta“. Pokud si z Workshopu stahujete obsah označený jako application wallpaper, spouštíte cizí program se všemi důsledky, které to obnáší.