SteamHide skjuler malware i Steam-profilbilleder
G Dataanalytikere har opdaget en usædvanlig SteamHide-metode der skjuler malware i metadataene for billeder på Steam-profiler.
Feller første gang, mærkelige billeder på Steam blev opdaget af cybersikkerhedsforsker Miltinhoc, der talte om hans fund på Twitter i slutningen af maj 2021.Forskere ved G Data siger det ved første øjekast, sådanne billeder er harmløse. Standard EXIF-værktøjer registrerer ikke noget mistænkeligt i dem, bortset fra at de advarer om, at datalængden i ICC-profilen er forkert.
Imidlertid, i virkeligheden, i stedet for en ICC-profil (som normalt bruges til at vise farver på eksterne enheder, såsom printere), sådanne billeder indeholder krypteret malware (inde i PropertyTagICCProfile-værdien).
samlet set, skjule malware i billedmetadata er slet ikke et nyt fænomen, indrømmer forskerne. Imidlertid, brug af en stor spilplatform som Steam til at være vært for ondsindede billeder komplicerer forholdene markant. Angribere kan til enhver tid erstatte malware, lige så let som at ændre profilbilledfilen.
På samme tid, Steam fungerer simpelthen som et værktøj til hackere og bruges til at være vært for malware. Hovedparten af det arbejde, der er involveret i download, udpakning, og udførelse af en sådan nyttelast udføres af en ekstern komponent, der får adgang til Steam-profilbilledet. Denne nyttelast kan også distribueres på den sædvanlige måde, i e-mails eller gennem hackede sider.
Eksperterne understreger, at billederne fra Steam-profilerne ikke er nogen af dem “smitsom” heller ikke eksekverbar. De er kun et middel til at bære den egentlige malware, der kræver en anden malware at udtrække.
Den anden malware blev fundet af forskere på VirusTotal, og den er en downloader. Den har en hårdkodet adgangskode “{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ and uses TripleDES to decrypt payloads from pictures.
På ofrets system, SteamHide-malware anmoder først om Win32_DiskDrive til VMWare og VBox og afsluttes, hvis de findes. The malware then checks to see if it has administrator rights and tries to elevate privileges using cmstp.exe.
Ved første lancering, den kopierer sig selv til mappen LOCALAPPDATA ved hjælp af navnet og udvidelsen, der er angivet i konfigurationen. SteamHide er fastgjort til systemet ved at oprette følgende nøgle i registreringsdatabasen: \Software Microsoft Windows CurrentVersion Run BroMal
IP-adressen på den administrerende server SteamHides er gemt på Pastebin, og kan opdateres via en bestemt Steam-profil. Ligesom læsseren, det udtrækker den eksekverbare fra PropertyTagICCProfile. i øvrigt, konfigurationen giver ham mulighed for at ændre id for billedegenskaber og søgestreng, det er, i fremtiden, other image parameters can be used to hide malware on Steam.
For eksempel, malware kontrollerer, om Teams er installeret ved at kontrollere for tilstedeværelsen af SquirrelTemp SquirrelSetup.log, men efter det sker der ingen med disse oplysninger. Perhaps this is necessary to check installed applications on the infected system so that they can be attacked later.
Specialisterne opdagede også ChangeHash() stub, og det ser ud til, at malwareudvikleren planlægger at tilføje polymorfisme til fremtidige versioner. Malwaren kan også sende anmodninger til Twitter, som i fremtiden kan bruges til at modtage kommandoer via Twitter, or the malware can act as a Twitter bot.
Lad mig minde dig om det Forskere opdagede Siloscape-malware rettet mod Windows Server-containere og Kubernetes-klynger.