SteamHide скрива зловреден софтуер в профилни снимки на Steam
G Анализатори на данни са открили необичаен метод SteamHide който крие зловреден софтуер в метаданните на изображенията в Steam профилите.
Еили за първи път, странни снимки в Steam бяха открити от изследователя по киберсигурност Miltinhoc, който разказа за находката си на Twitter в края на май 2021.Изследователите от G Data казват това на пръв поглед, такива снимки са безвредни. Стандартните EXIF инструменти не откриват нищо подозрително в тях, освен че предупреждават, че дължината на данните в ICC профила е неправилна.
въпреки това, в действителност, вместо ICC профил (който обикновено се използва за показване на цветове на външни устройства, като принтери), такива изображения съдържат криптиран зловреден софтуер (вътре в стойността на PropertyTagICCProfile).
Като цяло, скриването на зловреден софтуер в метаданните на изображението изобщо не е ново явление, признават изследователите. въпреки това, използването на голяма платформа за игри като Steam за хостване на злонамерени изображения значително усложнява нещата. Нападателите са в състояние да заменят зловреден софтуер по всяко време, също толкова лесно, колкото промяната на файла със снимка на профила.
По същото време, Steam просто служи като инструмент за хакери и се използва за хостване на зловреден софтуер. Цялата по-голямата част от работата, свързана с изтеглянето, разопаковане, и изпълнението на такъв полезен товар се извършва от външен компонент, който има достъп до изображението на профила в Steam. Този полезен товар може да бъде разпределен и по обичайния начин, в имейли или чрез хакнати сайтове.
Експертите подчертават, че самите изображения от Steam профили не са нито едното, нито другото “инфекциозен” нито изпълним. Те са само средство за пренасяне на действителния зловреден софтуер, което изисква втори зловреден софтуер за извличане.
Вторият злонамерен софтуер е открит от изследователи на VirusTotal и е програма за изтегляне. Има твърдо кодирана парола "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ и използва TripleDES за дешифриране на полезни товари от снимки.
В системата на жертвата, зловреден софтуер SteamHide първо иска Win32_DiskDrive за VMWare и VBox и излиза, ако съществуват. След това зловредният софтуер проверява дали има администраторски права и се опитва да повиши привилегиите с помощта на cmstp.exe.
При първото стартиране, той се копира в папката LOCALAPPDATA, използвайки името и разширението, посочени в конфигурацията. SteamHide се закача към системата чрез създаване на следния ключ в системния регистър: \СофтуерMicrosoftWindowsCurrentVersionRunBroMal
IP адресът на управляващия сървър SteamHides се съхранява в Pastebin, и може да се актуализира чрез конкретен Steam профил. Като товарача, той извлича изпълнимия файл от PropertyTagICCProfile. освен това, конфигурацията му позволява да промени идентификатора на свойствата на изображението и низа за търсене, това е, в бъдеще, други параметри на изображението могат да се използват за скриване на зловреден софтуер в Steam.
Например, зловредният софтуер проверява дали Teams е инсталиран, като проверява за наличието на SquirrelTempSquirrelSetup.log, но след това никой не се случва с тази информация. Може би това е необходимо, за да се проверят инсталираните приложения на заразената система, за да могат да бъдат атакувани по-късно.
Специалистите откриха и ChangeHash() мъниче, и изглежда, че разработчикът на зловреден софтуер планира да добави полиморфизъм към бъдещи версии. Зловреден софтуер може също да изпраща заявки до Twitter, който в бъдеще може да се използва за получаване на команди чрез Twitter, или зловредният софтуер може да действа като Twitter бот.
Нека ви го напомня Изследователите откриха злонамерен софтуер Siloscape, насочен към контейнери на Windows Server и клъстери Kubernetes.