SteamHide يخفي البرامج الضارة في صور ملف تعريف Steam
محللو البيانات G اكتشفوا طريقة SteamHide غير عادية الذي يخفي البرامج الضارة في البيانات الوصفية للصور الموجودة في ملفات تعريف Steam.
Fأو المرة الأولى, تم اكتشاف صور غريبة على Steam بواسطة باحث الأمن السيبراني Miltinhoc, الذي تحدث عن اكتشافه تويتر في نهاية شهر مايو 2021.يقول الباحثون في G Data ذلك للوهلة الأولى, مثل هذه الصور غير ضارة. لا تكتشف أدوات EXIF القياسية أي شيء مريب فيها, إلا أنها تحذر من أن طول البيانات في ملف تعريف ICC غير صحيح.
لكن, في الواقع, بدلاً من ملف تعريف ICC (والذي يستخدم عادةً لعرض الألوان على الأجهزة الخارجية, مثل الطابعات), تحتوي هذه الصور على برامج ضارة مشفرة (داخل قيمة PropertyTagICCCProfile).
إجمالي, إن إخفاء البرامج الضارة في البيانات الوصفية للصورة ليس ظاهرة جديدة على الإطلاق, يعترف الباحثون. لكن, إن استخدام منصة ألعاب كبيرة مثل Steam لاستضافة صور ضارة يؤدي إلى تعقيد الأمور بشكل كبير. يستطيع المهاجمون استبدال البرامج الضارة في أي وقت, بنفس سهولة تغيير ملف الصورة الشخصية.
في نفس الوقت, يعمل Steam ببساطة كأداة للمتسللين ويستخدم لاستضافة البرامج الضارة. كل الجزء الأكبر من العمل ينطوي على التنزيل, تفريغ, ويتم تنفيذ مثل هذه الحمولة بواسطة مكون خارجي يصل إلى صورة ملف تعريف Steam. ويمكن أيضًا توزيع هذه الحمولة بالطريقة المعتادة, في رسائل البريد الإلكتروني أو من خلال المواقع المخترقة.
يؤكد الخبراء أن الصور من ملفات تعريف Steam نفسها ليست كذلك “معد” ولا قابل للتنفيذ. إنها مجرد وسيلة لحمل البرامج الضارة الفعلية, الأمر الذي يتطلب استخراج برنامج ضار ثانٍ.
تم العثور على البرنامج الضار الثاني من قبل الباحثين في VirusTotal وهو قابل للتنزيل. لديه كلمة مرور مشفرة "{PJLD \بزكسس#;8@\x.3JT&<4^ مستكE0″ ويستخدم TripleDES لفك تشفير الحمولات من الصور.
على نظام الضحية, تطلب البرامج الضارة SteamHide أولاً Win32_DiskDrive لـ VMWare وVBox وتخرج إذا كانت موجودة. تتحقق البرامج الضارة بعد ذلك لمعرفة ما إذا كانت تتمتع بحقوق المسؤول وتحاول رفع الامتيازات باستخدام cmstp.exe.
عند الإطلاق الأول, يقوم بنسخ نفسه إلى المجلد LOCALAPPDATA باستخدام الاسم والامتداد المحدد في التكوين. يتم تثبيت SteamHide على النظام عن طريق إنشاء المفتاح التالي في السجل: \البرامجمايكروسوفتويندوزCurrentVersionRunBroMal
يتم تخزين عنوان IP الخاص بخادم الإدارة SteamHides على Pastebin, ويمكن تحديثه من خلال ملف تعريف Steam محدد. مثل اللودر, يقوم باستخراج الملف القابل للتنفيذ من PropertyTagICCProfile. علاوة على ذلك, يسمح له التكوين بتغيير معرف خصائص الصورة وسلسلة البحث, إنه, فى المستقبل, يمكن استخدام معلمات الصورة الأخرى لإخفاء البرامج الضارة على Steam.
على سبيل المثال, تتحقق البرامج الضارة من تثبيت Teams عن طريق التحقق من وجود SquirrelTempSquirrelSetup.log, ولكن بعد ذلك لا أحد يحدث لهذه المعلومات. وربما يكون ذلك ضروريًا للتحقق من التطبيقات المثبتة على النظام المصاب حتى يمكن مهاجمتها لاحقًا.
اكتشف المتخصصون أيضًا ملف ChangeHash() كعب, ويبدو أن مطور البرامج الضارة يخطط لإضافة تعدد الأشكال إلى الإصدارات المستقبلية. يمكن للبرامج الضارة أيضًا إرسال طلبات إلى Twitter, والتي يمكن استخدامها في المستقبل لتلقي الأوامر عبر تويتر, أو يمكن أن تعمل البرامج الضارة بمثابة روبوت تويتر.
دعني أذكرك بذلك اكتشف الباحثون برنامج Siloscape الخبيث الذي يستهدف حاويات Windows Server ومجموعات Kubernetes.
