赛博花柳再现！卡巴斯基警告Steam壁纸软件上成人游戏被用于传播恶意软件

知名杀毒软件公司卡巴斯基发布研究报告，揭露了一场自2025年底持续至今的大规模恶意软件传播行动。

黑客正利用Steam平台上广受欢迎的壁纸软件Wallpaper Engine（俗称“小红车”）的创意工坊功能，将恶意程序伪装成桌面壁纸进行分发，窃取用户的Steam账号信息并在受害设备中植入多种恶意软件。

由于这种攻击手段与性传播疾病在传播路径上的相似性——越是非正规渠道越容易中招，中了还不敢声张——国内安全社区将其形象地称为“赛博花柳”。

卡巴斯基研究人员在Steam创意工坊中查获了数十个被篡改的壁纸安装包，其中部分热门作品的下载量已达数万次。

攻击主要针对中国和俄罗斯的Steam用户，约89%的恶意下载行为发生在中国，其次为俄罗斯（5.5%），其余受害者分布在新加坡、中国香港、德国、越南、印度和加拿大等地。

攻击者的主要目的是窃取游戏账户并植入其他恶意软件，包括Lumma和Vidar信息窃取木马、加密货币挖矿程序、僵尸网络加载器以及多种勒索病毒。卡巴斯基表示，从样本分析结果来看，实施攻击的大概率是多名独立黑客，而非单一组织。

黑客之所以选择Wallpaper Engine作为攻击载体，原因并不复杂。这款软件Steam销量常年霸榜，国内玩家基本人手一份，攻击一次就能覆盖大片用户。

而创意工坊天然就是“投毒温床”——谁都能上传壁纸，用户一键订阅就自动下载，审核又不严，夹带恶意文件相当容易。

更关键的是，Wallpaper Engine支持多种壁纸格式，其中“应用程序壁纸”本质上是可在Windows系统直接运行的可执行文件，黑客将恶意代码嵌入其中，用户启动壁纸时木马便随之激活。

攻击者主要使用了两种投放方式。在部分案例中，恶意可执行文件、DLL和脚本直接捆绑在壁纸包内；在另一些案例中，攻击者将恶意软件隐藏在受密码保护的压缩文件中，密码则嵌入在压缩文件名或配置文件中，由用户手动输入或通过脚本自动解压执行。一旦壁纸被安装，恶意负载便会自动执行。

Steam平台已紧急下架卡巴斯基上报的恶意壁纸，但安全专家警告攻击仍在持续，黑客很可能已经制作出新的带毒文件并重新上传。

广大玩家需尽量不要在Wallpaper Engine的创意工坊中下载“应用程序”类壁纸，因为这类壁纸本质就是可执行文件，天然具备运行代码的能力。

如果确实需要使用，请选择口碑良好、拥有大量社区真实评价的创作者作品。此外，建议立即检查电脑中是否安装了可疑的壁纸文件，进行全盘病毒查杀，并修改Steam账号密码。尚未开启Steam Guard双重验证功能的用户应尽快设置，为账号增加一道安全屏障。