SteamHide skryje malware v obrázcích profilu Steam
G Analytici dat objevili neobvyklou metodu SteamHide který skrývá malware v metadatech obrázků na profilech Steam.
Fnebo poprvé, podivné obrázky na Steamu objevil výzkumník kybernetické bezpečnosti Miltinhoc, kdo mluvil o svém nálezu Cvrlikání na konci května 2021.Vědci z G Data to tvrdí na první pohled, takové obrázky jsou neškodné. Standardní nástroje EXIF v nich nezjistí nic podezřelého, kromě toho, že varují, že délka dat v profilu ICC je nesprávná.
nicméně, v realitě, místo profilu ICC (který se obvykle používá k zobrazení barev na externích zařízeních, například tiskárny), takové obrázky obsahují šifrovaný malware (uvnitř hodnoty PropertyTagICCProfile).
Celkově, skrývání malwaru v metadatech obrázků není vůbec nový fenomén, vědci připouštějí. nicméně, používání velké herní platformy, jako je Steam, k hostování škodlivých obrazů věci značně komplikuje. Útočníci mohou malware kdykoli nahradit, stejně snadno jako změna souboru s profilovým obrázkem.
Ve stejnou dobu, Steam jednoduše slouží jako nástroj pro hackery a slouží k hostování malwaru. Většina práce se stahováním, vybalení, a provedení takového užitečného zatížení provádí externí komponenta, která přistupuje k obrazu profilu Steam. Toto užitečné zatížení lze také distribuovat obvyklým způsobem, v e-mailech nebo prostřednictvím hacknutých stránek.
Odborníci zdůrazňují, že samotné obrázky z profilů Steam nejsou ani jedno, ani druhé “infekční” ani spustitelný. Jsou pouze prostředkem k přenosu skutečného malwaru, který vyžaduje extrahování druhého malwaru.
Druhý malware našli vědci z VirusTotal a jedná se o downloader. Má pevně zakódované heslo “{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ a používá TripleDES k dešifrování dat z obrázků.
V systému oběti, malware SteamHide nejprve požádá Win32_DiskDrive pro VMWare a VBox a ukončí se, pokud existují. Malware poté zkontroluje, zda má práva správce, a pokusí se zvýšit oprávnění pomocí cmstp.exe.
Při prvním spuštění, zkopíruje se do složky LOCALAPPDATA pomocí názvu a přípony uvedené v konfiguraci. SteamHide je připnutý k systému vytvořením následujícího klíče v registru: \Software Microsoft Windows CurrentVersion Run BroMal
IP adresa řídícího serveru SteamHides je uložena na Pastebin, a lze je aktualizovat prostřednictvím konkrétního profilu Steam. Jako nakladač, extrahuje spustitelný soubor z PropertyTagICCProfile. navíc, konfigurace mu umožňuje změnit ID vlastností obrázku a vyhledávací řetězec, to je, v budoucnu, další parametry obrazu lze použít ke skrytí malwaru na Steamu.
Například, malware zkontroluje, zda jsou nainstalovány týmy, a to kontrolou přítomnosti SquirrelTemp SquirrelSetup.log, ale poté se s touto informací nikdo nestane. Možná je to nutné pro kontrolu nainstalovaných aplikací na infikovaném systému, aby mohly být později napadeny.
Specialisté také objevili ChangeHash() pahýl, a vypadá to, že vývojář malwaru plánuje přidat polymorfismus do budoucích verzí. Malware může také odesílat požadavky na Twitter, které lze v budoucnu použít k přijímání příkazů přes Twitter, nebo malware může fungovat jako bot na Twitteru.
Připomenu vám to Vědci objevili malware Siloscape zaměřený na kontejnery Windows Server a klastry Kubernetes.
