Malware na Steam: como os papéis de parede do Wallpaper Engine acabaram roubando criptos

Se você usa o Wallpaper Engine para deixar a área de trabalho com papéis de parede animados, vale a pena prestar atenção no que anda baixando. Pesquisadores da Kaspersky descobriram que, desde o fim de 2025, alguns atacantes vêm escondendo malware dentro de papéis de parede publicados na Steam Workshop. Alguns desses arquivos já tinham milhares de downloads antes de alguém perceber que tinha algo errado.

O relatório é assinado por Maxim Starodubov e Denis Brylev, e saiu em 16 de junho de 2026. A conclusão é desconfortável: nem mesmo uma plataforma tão confiável quanto a Steam está totalmente livre de risco.

Por que um papel de parede pode ser perigoso

O Wallpaper Engine é um dos aplicativos mais populares da Steam. Tem cerca de 100 mil usuários ativos por dia e quase um milhão de avaliações. A ideia é simples: no lugar de uma imagem fixa, você coloca vídeos, cenas interativas ou páginas da web rodando como plano de fundo.

O problema está em um quarto tipo de papel de parede, os chamados "papéis de parede de aplicativo". Não são imagens nem vídeos: são programas do Windows que rodam de verdade no seu computador. Podem ser minijogos, calendários, monitores que mostram o uso da sua CPU, quase qualquer coisa. E foi exatamente isso que os atacantes aproveitaram. Um papel de parede de aplicativo é, na prática, um código de outra pessoa rodando na sua máquina. Como qualquer um pode criar um e publicar de graça na Workshop, era questão de tempo até alguém usar isso com má intenção.

Como funciona o golpe

A Kaspersky encontrou dezenas desses papéis de parede maliciosos, cada um com milhares ou dezenas de milhares de downloads. Os atacantes usavam dois métodos. No mais direto, colocavam o papel de parede executável junto com os arquivos infectados (EXE, DLL ou scripts) em um mesmo pacote. No outro, escondiam o malware em um arquivo compactado protegido por senha e deixavam essa senha à vista: no nome do arquivo ou dentro de um arquivo de configuração. Às vezes a vítima digitava sem desconfiar de nada; outras, um script fazia isso sozinho.

Um dos casos que eles analisaram ilustra bem. Era um papel de parede com um jogo chamado NTRaholic. Ao abrir, o jogo iniciava sem problemas e tudo parecia normal. Mas, nos bastidores, já estava sendo instalado um backdoor (um arquivo chamado Synaptics.exe, da família DarkKomet), enquanto um segundo módulo procurava o aplicativo da Steam na máquina, roubava as credenciais e sequestrava a sessão ativa do usuário. Com essa sessão nas mãos, os atacantes conseguiam subir ainda mais papéis de parede infectados na Workshop usando a conta da própria vítima.

Não é um grupo só, são vários

O que mais chama a atenção é a variedade. Entre os papéis de parede analisados apareceu de tudo um pouco: os infostealers Lumma e Vidar, o backdoor DarkKomet, o carregador RenEngine, mineradores de criptomoedas, carregadores de botnet e até ransomware. Essa diversidade indica para a Kaspersky que não existe uma única mente por trás, e sim vários grupos independentes que entraram na mesma onda.

Por enquanto, o alvo principal são os jogadores da China: 89% das tentativas de download malicioso aconteceram por lá, e os títulos e estilos dos papéis de parede são feitos sob medida para esse público. A Rússia fica em segundo lugar, com 5,5%, seguida bem de longe por Singapura, Hong Kong, Alemanha, Vietnã, Índia e Canadá. Dito isso, nada impede que a campanha mude para outra região quando os atacantes quiserem.

O que fazer se você usa o Wallpaper Engine

A boa notícia é que, quando o relatório foi publicado, a Steam já tinha removido os papéis de parede e os links maliciosos que a Kaspersky havia identificado. A má notícia é que novos aparecem o tempo todo, então não dá para confiar que a plataforma vai pegar todos.

Algumas precauções que ajudam:

• Baixe papéis de parede só de criadores com boa reputação e leia os comentários da comunidade antes de instalar qualquer coisa.
• Desconfie principalmente dos papéis de parede de aplicativo, que são os únicos capazes de rodar programas.
• Passe um antivírus atualizado em qualquer um desses papéis de parede antes de aplicá-lo.
• Se algo parecer estranho depois de instalar um (o PC fica lento, a Steam pede para você entrar de novo sem motivo), verifique a máquina o quanto antes.

O Wallpaper Engine em si continua sendo um aplicativo legítimo e seguro. O risco não está no app, e sim no que as outras pessoas publicam na Workshop. E, como costuma acontecer nesses casos, o melhor filtro ainda é pensar duas vezes antes de clicar em "baixar".