SteamHide versteckt Malware in Steam-Profilbildern
G Data-Analysten haben eine ungewöhnliche SteamHide-Methode entdeckt die Malware in den Metadaten von Bildern in Steam-Profilen versteckt.
Foder das erste mal, seltsame Bilder auf Steam wurden vom Cybersicherheitsforscher Miltinhoc entdeckt, wer sprach über seinen Fund auf zwitschern Ende Mai 2021.Das sagen Forscher von G Data auf den ersten Blick, solche bilder sind harmlos. Standard-EXIF-Tools erkennen nichts Verdächtiges in ihnen, außer dass sie warnen, dass die Datenlänge im ICC-Profil falsch ist.
jedoch, in Wirklichkeit, anstelle eines ICC-Profils (die normalerweise verwendet wird, um Farben auf externen Geräten anzuzeigen, wie Drucker), solche Bilder enthalten verschlüsselte Malware (innerhalb des PropertyTagICCProfile-Werts).
Insgesamt, Das Verbergen von Malware in Bildmetadaten ist überhaupt kein neues Phänomen, die Forscher geben zu. jedoch, Die Verwendung einer großen Spieleplattform wie Steam zum Hosten von schädlichen Bildern erschwert die Angelegenheit erheblich.. Angreifer können Schadsoftware jederzeit ersetzen, genauso einfach wie das Ändern der Profilbilddatei.
Gleichzeitig, Steam dient lediglich als Werkzeug für Hacker und wird zum Hosten von Malware verwendet. Der Großteil der Arbeit, die mit dem Herunterladen verbunden ist, Auspacken, und die Ausführung einer solchen Nutzlast erfolgt durch eine externe Komponente, die auf das Steam-Profilbild zugreift. Diese Nutzlast kann auch wie gewohnt verteilt werden, in E-Mails oder über gehackte Seiten.
Die Experten betonen, dass die Bilder aus den Steam-Profilen selbst beides nicht sind “ansteckend” noch ausführbar. Sie sind nur ein Mittel, um die eigentliche Malware zu übertragen, was eine zweite Malware zum Extrahieren erfordert.
Die zweite Malware wurde von den Forschern von VirusTotal gefunden und ist ein Downloader. Es hat ein hartcodiertes Passwort “{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ und verwendet TripleDES, um Nutzlasten aus Bildern zu entschlüsseln.
Auf dem System des Opfers, die SteamHide-Malware fordert zuerst Win32_DiskDrive für VMWare und VBox an und wird beendet, wenn sie vorhanden sind. Die Malware überprüft dann, ob sie über Administratorrechte verfügt und versucht, die Berechtigungen mithilfe von cmstp.exe zu erhöhen.
Beim ersten Start, es kopiert sich selbst in den Ordner LOCALAPPDATA unter Verwendung des in der Konfiguration angegebenen Namens und der Erweiterung. SteamHide wird an das System angeheftet, indem der folgende Schlüssel in der Registrierung erstellt wird: \SoftwareMicrosoftWindowsCurrentVersionRunBroMal
Die IP-Adresse des verwaltenden Servers SteamHides wird auf Pastebin gespeichert, und kann über ein bestimmtes Steam-Profil aktualisiert werden. Wie der Lader, es extrahiert die ausführbare Datei aus PropertyTagICCProfile. Außerdem, die Konfiguration ermöglicht es ihm, die ID der Bildeigenschaften und die Suchzeichenfolge zu ändern, das ist, in der Zukunft, andere Bildparameter können verwendet werden, um Malware auf Steam zu verbergen.
Zum Beispiel, Die Malware überprüft, ob Teams installiert ist, indem sie das Vorhandensein von SquirrelTempSquirrelSetup.log überprüft, aber danach passiert niemand mehr mit dieser Information. Eventuell ist dies notwendig, um installierte Anwendungen auf dem infizierten System zu überprüfen, damit sie später angegriffen werden können.
Die Spezialisten entdeckten auch den ChangeHash() Stub, und es sieht so aus, als ob der Malware-Entwickler plant, zukünftigen Versionen Polymorphismus hinzuzufügen. Die Malware kann auch Anfragen an Twitter senden, die in Zukunft verwendet werden können, um Befehle über Twitter zu empfangen, oder die Malware kann als Twitter-Bot fungieren.
Lass mich dich daran erinnern Forscher entdeckten Siloscape-Malware, die auf Windows Server-Container und Kubernetes-Cluster abzielte.