Hackers estão usando a Steam Workshop para distribuir dezenas de wallpapers animados falsos que, ao serem aplicados no programa Wallpaper Engine, instalam malware e roubam contas da própria Steam. A campanha de pelo menos quatro meses foi detalhada em 16 de junho de 2026 pela BleepingComputer com base num relatório da Kaspersky, e cada arquivo malicioso já tinha sido baixado milhares — às vezes dezenas de milhares — de vezes antes de ser removido pela Valve.
Resumo: o ataque explora os chamados “wallpapers de aplicação”, um tipo de papel de parede do Wallpaper Engine que é, na prática, um programa executável. Escondidos nesses pacotes há backdoors (DarkKomet), ladrões de senhas (Lumma e Vidar), mineradores de criptomoedas e até ransomware. O golpe age desde o fim de 2025, sequestra a sessão ativa da Steam da vítima e usa a conta roubada para publicar novos wallpapers infectados, criando um efeito cascata.
Como o golpe funciona
O Wallpaper Engine é um dos apps mais populares da Steam, com cerca de 100 mil usuários ativos por dia e quase um milhão de avaliações, segundo a análise técnica da Kaspersky no Securelist. Ele suporta quatro tipos de papel de parede: vídeos, cenas interativas, páginas web e “aplicações”. É essa última categoria que abre a brecha.
Wallpapers de aplicação são, literalmente, programas Windows rodando como plano de fundo — mini-jogos, calendários, medidores de CPU. Como qualquer um pode publicar conteúdo na Steam Workshop de graça, o recurso virou um atrativo para criminosos. A Kaspersky encontrou dezenas desses pacotes maliciosos circulando na plataforma.
Os atacantes usam dois métodos para esconder o malware. No primeiro, o executável do wallpaper vem acompanhado de arquivos maliciosos dentro de um pacote. No segundo, o código nocivo fica trancado num arquivo protegido por senha — com a senha escondida à vista de todos, no próprio nome do arquivo ou dentro de um arquivo de configuração JSON instalado junto. Em ambos os casos, o payload dispara sozinho no momento em que o usuário aplica o wallpaper.
O que o malware instala
A variedade de ameaças surpreende. A campanha não é obra de um único grupo, mas de vários atacantes independentes que aproveitaram a mesma ideia, segundo a Kaspersky. A tabela abaixo resume o que foi encontrado dentro dos wallpapers falsos:
| Família de malware | Tipo | O que faz |
|---|---|---|
| DarkKomet | Backdoor | Abre acesso remoto total ao PC do usuário |
| Lumma e Vidar | Infostealer | Roubam senhas, cookies e carteiras de criptomoedas |
| RenEngine | Loader | Baixa e instala outros malwares sob demanda |
| Mineradores | Cryptojacking | Usam o processador para minerar moedas em segredo |
| Ransomware | Criptografia | Trancam os arquivos da vítima e pedem resgate |
O detalhe mais preocupante é o sequestro da sessão da Steam. Um dos componentes instalados, uma versão adulterada da biblioteca de sistema AggregatorHost.dll, procura o aplicativo da Steam no computador, captura as credenciais da conta e envia tudo a um servidor controlado pelos criminosos. Com a sessão ativa em mãos, eles usam a própria conta roubada para subir novos wallpapers infectados na Workshop — o que amplia o alcance do golpe de forma automática.
O caso do wallpaper “NTRaholic”
Para entender o nível de engenharia do golpe, vale olhar um exemplo concreto descoberto em dezembro de 2025. O wallpaper se passava por um jogo chamado NTRaholic. Ao ser executado, o jogo abria normalmente e rodava sem falhas — exatamente para não levantar suspeitas.
Nos bastidores, porém, o pacote soltava um arquivo chamado Synaptics.exe, parte da família DarkKomet, que instalava um backdoor. Ao mesmo tempo, um módulo disfarçado de cache do jogo (._cache_GAME1.exe) carregava a versão modificada de AggregatorHost.dll responsável por caçar credenciais da Steam. Em poucos minutos, a conta do usuário podia estar comprometida, com arquivos sendo criptografados por ransomware ou o desempenho do PC despencando por causa de um minerador escondido.
O risco para o brasileiro
Os dados atuais da Kaspersky mostram que 89% das tentativas de download malicioso acontecem na China, seguida por Rússia (5,5%), Cingapura (1,4%) e Hong Kong (0,9%). O Brasil ainda não aparece entre os principais alvos — mas isso não é motivo para alívio. Os títulos e o estilo das artes dos wallpapers são desenhados para o público chinês, e os pesquisadores alertam que não há nada impedindo os atacantes de redirecionar a campanha para outras regiões a qualquer momento.
O Brasil é um dos maiores mercados de PC gaming do planeta, com milhões de usuários ativos na Steam, e o Wallpaper Engine é extremamente popular entre quem gosta de personalizar a área de trabalho. O mecanismo de espalhamento automático — conta roubada publica novo wallpaper infectado — significa que basta um usuário infectado numa comunidade para iniciar uma cadeia local de contaminação. A lógica é a mesma de outros abusos de plataformas confiáveis, como os plugins falsos que roubaram chaves de IA no JetBrains e os pacotes infectados encontrados em repositórios do Arch Linux.
Como saber se você foi infectado
Alguns sinais ajudam a identificar uma possível infecção. Se a sua conta da Steam foi acessada de um local desconhecido, se itens sumiram do inventário ou se houve tentativas de troca suspeitas, é sinal de alerta. No computador, fique atento a quedas bruscas de desempenho, uso anormal da placa de vídeo ou do processador quando o PC está parado, e ao aparecimento de arquivos estranhos — como Synaptics.exe fora do lugar esperado.
A Kaspersky publicou indicadores de comprometimento no relatório, incluindo detecções como HEUR:Backdoor.Win32.DarkKomet, HEUR:Trojan-PSW.Win32.gen e HEUR:Trojan-Ransom.Win32.Gen.gen. Quem usa um antivírus atualizado pode rodar uma verificação completa para checar esses rastros.
Como se proteger
A própria Valve, empresa dona da Steam, já removeu os wallpapers identificados pela Kaspersky, mas os pesquisadores advertem que novos pacotes maliciosos devem continuar surgindo. A proteção passa por hábitos simples:
- Evite wallpapers de aplicação de autores desconhecidos ou recém-cadastrados na Workshop, especialmente os que pedem para digitar uma senha para abrir um arquivo.
- Verifique a reputação do criador do conteúdo e o número de avaliações antes de assinar qualquer wallpaper.
- Mantenha um antivírus atualizado e faça a verificação de qualquer arquivo baixado da Workshop, conforme recomendado pelo resumo publicado pelo TechRadar.
- Ative a verificação em duas etapas na sua conta da Steam para dificultar o sequestro mesmo que as credenciais sejam roubadas.
- Revise os itens assinados na Workshop e remova wallpapers de aplicação que você não reconheça ou não use mais.
A lição central vai além da Steam: plataformas confiáveis não são sinônimo de conteúdo confiável. Sempre que um sistema permite que qualquer pessoa publique código executável, o usuário vira a última — e muitas vezes a única — linha de defesa.
Referências
- BleepingComputer — Steam Workshop abused to spread malware via Wallpaper Engine app (16 jun 2026)
- Kaspersky Securelist — Dozens of malicious wallpapers found on Steam Workshop (16 jun 2026)
- Kaspersky — Comunicado de imprensa sobre a campanha de malware na Steam (jun 2026)
- TechRadar — Gamers beware: Steam Workshop abused to spread malware (jun 2026)