SteamHide скрива зловреден софтуер в профилни снимки на Steam

G Анализатори на данни са открили необичаен метод SteamHide който крие зловреден софтуер в метаданните на изображенията в Steam профилите.

Еили за първи път, странни снимки в Steam бяха открити от изследователя по киберсигурност Miltinhoc, който разказа за находката си на Twitter в края на май 2021.

Изследователите от G Data казват това на пръв поглед, такива снимки са безвредни. Стандартните EXIF ​​инструменти не откриват нищо подозрително в тях, освен че предупреждават, че дължината на данните в ICC профила е неправилна.

SteamHide скрива зловреден софтуер

въпреки това, в действителност, вместо ICC профил (който обикновено се използва за показване на цветове на външни устройства, като принтери), такива изображения съдържат криптиран зловреден софтуер (вътре в стойността на PropertyTagICCProfile).

Като цяло, скриването на зловреден софтуер в метаданните на изображението изобщо не е ново явление, признават изследователите. въпреки това, използването на голяма платформа за игри като Steam за хостване на злонамерени изображения значително усложнява нещата. Нападателите са в състояние да заменят зловреден софтуер по всяко време, също толкова лесно, колкото промяната на файла със снимка на профила.

По същото време, Steam просто служи като инструмент за хакери и се използва за хостване на зловреден софтуер. Цялата по-голямата част от работата, свързана с изтеглянето, разопаковане, и изпълнението на такъв полезен товар се извършва от външен компонент, който има достъп до изображението на профила в Steam. Този полезен товар може да бъде разпределен и по обичайния начин, в имейли или чрез хакнати сайтове.

Експертите подчертават, че самите изображения от Steam профили не са нито едното, нито другото “инфекциозен” нито изпълним. Те са само средство за пренасяне на действителния зловреден софтуер, което изисква втори зловреден софтуер за извличане.

SteamHide скрива зловреден софтуер

Вторият злонамерен софтуер е открит от изследователи на VirusTotal и е програма за изтегляне. Има твърдо кодирана парола "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ и използва TripleDES за дешифриране на полезни товари от снимки.

В системата на жертвата, зловреден софтуер SteamHide първо иска Win32_DiskDrive за VMWare и VBox и излиза, ако съществуват. След това зловредният софтуер проверява дали има администраторски права и се опитва да повиши привилегиите с помощта на cmstp.exe.

При първото стартиране, той се копира в папката LOCALAPPDATA, използвайки името и разширението, посочени в конфигурацията. SteamHide се закача към системата чрез създаване на следния ключ в системния регистър: \СофтуерMicrosoftWindowsCurrentVersionRunBroMal

IP адресът на управляващия сървър SteamHides се съхранява в Pastebin, и може да се актуализира чрез конкретен Steam профил. Като товарача, той извлича изпълнимия файл от PropertyTagICCProfile. освен това, конфигурацията му позволява да промени идентификатора на свойствата на изображението и низа за търсене, това е, в бъдеще, други параметри на изображението могат да се използват за скриване на зловреден софтуер в Steam.

Докато SteamHide няма друга функционалност и изглежда, че злонамереният софтуер все още е в процес на разработка: намерихме няколко кодови сегмента, които в момента не се използват.съобщават изследователите

Например, зловредният софтуер проверява дали Teams е инсталиран, като проверява за наличието на SquirrelTempSquirrelSetup.log, но след това никой не се случва с тази информация. Може би това е необходимо, за да се проверят инсталираните приложения на заразената система, за да могат да бъдат атакувани по-късно.

Специалистите откриха и ChangeHash() мъниче, и изглежда, че разработчикът на зловреден софтуер планира да добави полиморфизъм към бъдещи версии. Зловреден софтуер може също да изпраща заявки до Twitter, който в бъдеще може да се използва за получаване на команди чрез Twitter, или зловредният софтуер може да действа като Twitter бот.

Нека ви го напомня Изследователите откриха злонамерен софтуер Siloscape, насочен към контейнери на Windows Server и клъстери Kubernetes.

Хелга Смит

Винаги съм се интересувал от компютърни науки, особено сигурността на данните и темата, което се нарича в наши дни "наука за данни", от ранните ми тийнейджърски години. Преди да дойде в екипа за премахване на вируси като главен редактор, Работил съм като експерт по киберсигурност в няколко компании, включително един от изпълнителите на Amazon. Друг опит: Преподавам в университетите Арден и Рединг.

Оставете коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват вашите коментарни данни.

Бутон за връщане в началото