SteamHide versteek wanware in Steam-profielprente
G Data-ontleders het 'n ongewone SteamHide-metode ontdek wat wanware in die metadata van beelde op Steam-profiele versteek.
Fof die eerste keer, vreemde prente op Steam is deur die kuberveiligheidsnavorser Miltinhoc ontdek, wat gepraat het oor sy vonds op Twitter aan die einde van Mei 2021.Navorsers by G Data sê dit met die eerste oogopslag, sulke prente is skadeloos. Standaard EXIF-instrumente bespeur niks verdag in hulle nie, behalwe dat hulle waarsku dat die datalengte in die ICC-profiel verkeerd is.
Egter, in werklikheid, in plaas van 'n ICC-profiel (wat gewoonlik gebruik word om kleure op eksterne toestelle te vertoon, soos drukkers), sulke beelde bevat geënkripteerde wanware (binne die PropertyTagICCCProfile-waarde).
Algehele, om wanware in beeldmetadata weg te steek, is glad nie 'n nuwe verskynsel nie, erken die navorsers. Egter, die gebruik van 'n groot speletjie-platform soos Steam om kwaadwillige beelde aan te bied, bemoeilik sake aansienlik. Aanvallers kan wanware te eniger tyd vervang, net so maklik soos om die profielfoto-lêer te verander.
Op dieselfde tyd, Steam dien eenvoudig as 'n instrument vir kuberkrakers en word gebruik om wanware te huisves. Al die grootste deel van die werk betrokke by aflaai, uitpak, en die uitvoering van so 'n loonvrag word gedoen deur 'n eksterne komponent wat toegang tot die Steam-profielbeeld verkry. Hierdie loonvrag kan ook op die gewone manier versprei word, in e-posse of deur gehackte werwe.
Die kenners beklemtoon dat die beelde van Steam-profiele self nie een is nie “aansteeklik” ook nie uitvoerbaar nie. Hulle is slegs 'n manier om die werklike malware te dra, wat 'n tweede wanware vereis om te onttrek.
Die tweede wanware is deur navorsers by VirusTotal gevind en dit is 'n aflaaier. Dit het 'n hardgekodeerde wagwoord "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ en gebruik TripleDES om loonvragte van prente te dekripteer.
Op die slagoffer se stelsel, die SteamHide-wanware versoek eers Win32_DiskDrive vir VMWare en VBox en gaan uit as hulle bestaan. Die wanware kyk dan om te sien of dit administrateurregte het en probeer om voorregte te verhoog deur cmstp.exe te gebruik.
Met die eerste bekendstelling, dit kopieer homself na die LOCALAPPDATA-lêergids met die naam en uitbreiding wat in die konfigurasie gespesifiseer is. SteamHide word aan die stelsel vasgespeld deur die volgende sleutel in die register te skep: \SagtewareMicrosoftWindowsCurrentVersionRunBroMal
Die IP-adres van die bestuursbediener SteamHides word op Pastebin gestoor, en kan opgedateer word deur 'n spesifieke Steam-profiel. Soos die laaier, dit onttrek die uitvoerbare uit PropertyTagICCCProfile. Bowendien, die konfigurasie laat hom toe om die ID van die beeldeienskappe en die soekstring te verander, dit wil sê, in die toekoms, ander beeldparameters kan gebruik word om wanware op Steam te versteek.
Byvoorbeeld, die wanware kontroleer of Teams geïnstalleer is deur te kyk vir die teenwoordigheid van SquirrelTempSquirrelSetup.log, maar daarna gebeur niemand met hierdie inligting nie. Miskien is dit nodig om geïnstalleerde toepassings op die besmette stelsel na te gaan sodat hulle later aangeval kan word.
Die spesialiste het ook die ChangeHash ontdek() stomp, en dit lyk of die wanware-ontwikkelaar beplan om polimorfisme by toekomstige weergawes te voeg. Die wanware kan ook versoeke na Twitter stuur, wat in die toekoms gebruik kan word om opdragte via Twitter te ontvang, of die wanware kan as 'n Twitter-bot optree.
Laat ek jou daaraan herinner Navorsers het Siloscape-wanware ontdek wat Windows Server-houers en Kubernetes-klusters teiken.
