SteamHide κρύβει κακόβουλο λογισμικό στο Steam Φωτογραφίες προφίλ

Αναλυτές δεδομένων G ανακάλυψαν μια ασυνήθιστη μέθοδο SteamHide που κρύβει κακόβουλο λογισμικό στα μεταδεδομένα εικόνων στα προφίλ Steam.

Οι ερευνητές στο G Data το λένε με την πρώτη ματιά, τέτοιες φωτογραφίες είναι ακίνδυνες. Τα τυπικά εργαλεία EXIF ​​δεν εντοπίζουν κάτι ύποπτο σε αυτά, εκτός από το ότι προειδοποιούν ότι το μήκος δεδομένων στο προφίλ ICC είναι λανθασμένο.

Ωστόσο, στην πραγματικότητα, αντί για ένα προφίλ ICC (που χρησιμοποιείται συνήθως για την εμφάνιση χρωμάτων σε εξωτερικές συσκευές, όπως εκτυπωτές), Τέτοιες εικόνες περιέχουν κρυπτογραφημένο κακόβουλο λογισμικό (εντός της τιμής PropertyTagICCProfile).

Συνολικά, Η απόκρυψη κακόβουλου λογισμικού σε μεταδεδομένα εικόνας δεν είναι καθόλου νέο φαινόμενο, οι ερευνητές παραδέχονται. Ωστόσο, Η χρήση μιας μεγάλης πλατφόρμας παιχνιδιών όπως το Steam για τη φιλοξενία κακόβουλων εικόνων περιπλέκει σημαντικά τα πράγματα. Οι εισβολείς μπορούν να αντικαταστήσουν κακόβουλο λογισμικό ανά πάσα στιγμή, εξίσου εύκολα με την αλλαγή του αρχείου εικόνας προφίλ.

Την ίδια στιγμή, Το Steam χρησιμεύει απλά ως εργαλείο για χάκερ και χρησιμοποιείται για τη φιλοξενία κακόβουλου λογισμικού. Όλο το μεγαλύτερο μέρος της εργασίας που αφορά τη λήψη, αποσυσκευασία, και η εκτέλεση ενός τέτοιου ωφέλιμου φορτίου γίνεται από ένα εξωτερικό στοιχείο που έχει πρόσβαση στην εικόνα προφίλ Steam. Αυτό το ωφέλιμο φορτίο μπορεί επίσης να διανεμηθεί με τον συνηθισμένο τρόπο, σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μέσω παραβιασμένων ιστότοπων.

Οι ειδικοί τονίζουν ότι οι εικόνες από τα ίδια τα προφίλ Steam δεν είναι ούτε αυτές “μολυσματικός” ούτε εκτελέσιμο. Είναι μόνο ένα μέσο μεταφοράς του πραγματικού κακόβουλου λογισμικού, το οποίο απαιτεί ένα δεύτερο κακόβουλο λογισμικό για εξαγωγή.

Το δεύτερο κακόβουλο λογισμικό βρέθηκε από ερευνητές του VirusTotal και είναι ένα πρόγραμμα λήψης. Έχει έναν κωδικοποιημένο κωδικό πρόσβασης «{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ και χρησιμοποιεί το TripleDES για την αποκρυπτογράφηση του ωφέλιμου φορτίου από τις εικόνες.

Στο σύστημα του θύματος, το SteamHide malware ζητά πρώτα το Win32_DiskDrive για VMWare και VBox και βγαίνει εάν υπάρχουν. Στη συνέχεια, το κακόβουλο λογισμικό ελέγχει αν έχει δικαιώματα διαχειριστή και προσπαθεί να αυξήσει τα προνόμια χρησιμοποιώντας το cmstp.exe.

Κατά την πρώτη κυκλοφορία, αντιγράφεται στον φάκελο LOCALAPPDATA χρησιμοποιώντας το όνομα και την επέκταση που καθορίζονται στη διαμόρφωση. Το SteamHide είναι καρφιτσωμένο στο σύστημα δημιουργώντας το ακόλουθο κλειδί στο μητρώο: \Λογισμικό Microsoft Windows CurrentVersion Run BroMal

Η διεύθυνση IP του διακομιστή διαχείρισης SteamHides αποθηκεύεται στο Pastebin, και μπορεί να ενημερωθεί μέσω ενός συγκεκριμένου προφίλ Steam. Όπως και ο φορτωτής, εξάγει το εκτελέσιμο από το PropertyTagICCProfile. Εξάλλου, Η διαμόρφωση του επιτρέπει να αλλάξει το αναγνωριστικό των ιδιοτήτων εικόνας και τη συμβολοσειρά αναζήτησης, αυτό είναι, στο μέλλον, άλλες παράμετροι εικόνας μπορούν να χρησιμοποιηθούν για την απόκρυψη κακόβουλου λογισμικού στο Steam.

Για παράδειγμα, το κακόβουλο λογισμικό ελέγχει εάν είναι εγκατεστημένες οι ομάδες ελέγχοντας την παρουσία του SquirrelTemp SquirrelSetup.log, αλλά μετά από αυτό δεν συμβαίνει κανείς σε αυτές τις πληροφορίες. Perhapsσως αυτό είναι απαραίτητο για να ελέγξετε τις εγκατεστημένες εφαρμογές στο μολυσμένο σύστημα, ώστε να επιτεθούν αργότερα.

Οι ειδικοί ανακάλυψαν επίσης το ChangeHash() στέλεχος, και φαίνεται ότι ο προγραμματιστής κακόβουλου λογισμικού σχεδιάζει να προσθέσει πολυμορφισμό σε μελλοντικές εκδόσεις. Το κακόβουλο λογισμικό μπορεί επίσης να στείλει αιτήματα στο Twitter, που στο μέλλον μπορεί να χρησιμοποιηθεί για τη λήψη εντολών μέσω του Twitter, ή το κακόβουλο λογισμικό μπορεί να λειτουργήσει ως Twitter bot.

Επιτρέψτε μου να σας το υπενθυμίσω αυτό Οι ερευνητές ανακάλυψαν το κακόβουλο λογισμικό Siloscape που στοχεύει κοντέινερ Windows Server και συμπλέγματα Kubernetes.