피드로 돌아가기
Gamers beware: malicious wallpapers on Steam found stealing accounts
Hacker NewsHacker News
Security

Application Wallpaper 기능을 악용한 Steam 계정 탈취 및 Malware 유포 사례 분석

Gamers beware: malicious wallpapers on Steam found stealing accounts

2026년 6월 16일5intermediate

Context

Wallpaper Engine의 'Application Wallpaper' 기능이 외부 실행 파일(EXE)을 데스크톱 배경으로 설정할 수 있는 구조를 가짐. Steam Workshop의 개방적인 콘텐츠 공유 체계와 결합하여 검증되지 않은 Third-party Binary가 사용자 시스템에서 직접 실행되는 보안 취약점 발생.

Technical Solution

  • Application Wallpaper의 특성을 활용한 Arbitrary Code Execution 경로 설계
  • Password-protected Archive를 통한 정적 분석 우회 및 JSON 설정 파일을 이용한 자동 복호화 로직 구현
  • Synaptics.exe(DarkKomet family) 드롭을 통한 Persistent Backdoor 구축
  • AggregatorHost.dll 라이브러리 변조를 통한 Steam Session Hijacking 및 계정 Credential 추출
  • 탈취한 세션을 활용해 Steam Workshop에 추가 악성 콘텐츠를 업로드하는 피어 투 피어(P2P) 확산 구조 설계
  • C2 서버(hxxp://120.48.156[.]17/ey.php)를 통한 데이터 엑스필트레이션(Exfiltration) 경로 구축

1. 외부 Binary 실행이 필요한 기능 설계 시 OS 레벨의 Sandbox 적용 검토

2. Third-party 콘텐츠 업로드 시 정적/동적 분석을 포함한 자동화된 보안 스캔 파이프라인 구축

3. 신뢰할 수 없는 소스의 DLL 로딩을 차단하는 코드 서명(Code Signing) 검증 프로세스 도입

원문 읽기