SteamHide بدافزار را در تصاویر پروفایل Steam پنهان می کند
G تحلیلگران داده یک روش غیر معمول SteamHide را کشف کرده اند که بدافزار را در فراداده تصاویر در پروفایل های Steam پنهان می کند.
افیا اولین بار, تصاویر عجیبی در Steam توسط محقق امنیت سایبری Miltinhoc کشف شد, که در مورد یافته خود صحبت کرد توییتر در پایان ماه مه 2021.محققان G Data در نگاه اول می گویند, چنین عکس هایی بی ضرر هستند. ابزارهای استاندارد EXIF هیچ چیز مشکوکی را در آنها تشخیص نمی دهند, به جز اینکه آنها هشدار می دهند که طول داده در نمایه ICC نادرست است.
با این حال, در واقعیت, به جای نمایه ICC (که معمولا برای نمایش رنگ ها در دستگاه های خارجی استفاده می شود, مانند چاپگرها), چنین تصاویری حاوی بدافزار رمزگذاری شده هستند (داخل مقدار PropertyTagICCProfile).
به طور کلی, پنهان کردن بدافزار در متادیتای تصویر اصلاً پدیده جدیدی نیست, محققان اعتراف می کنند. با این حال, استفاده از یک پلتفرم بازی بزرگ مانند Steam برای میزبانی تصاویر مخرب کار را به طور قابل توجهی پیچیده می کند. مهاجمان می توانند در هر زمان بدافزار را جایگزین کنند, به سادگی تغییر فایل تصویر پروفایل.
همزمان, Steam به سادگی به عنوان ابزاری برای هکرها عمل می کند و برای میزبانی بدافزار استفاده می شود. تمام بخش عمده ای از کارهای مربوط به دانلود, باز کردن بسته بندی, و اجرای چنین payload توسط یک جزء خارجی که به تصویر نمایه Steam دسترسی دارد انجام می شود. این محموله را نیز می توان به روش معمول توزیع کرد, در ایمیل ها یا از طریق سایت های هک شده.
کارشناسان تاکید می کنند که تصاویر از پروفایل های Steam خود هیچ کدام نیستند “عفونی” و نه قابل اجرا. آنها تنها وسیله ای برای حمل بدافزار واقعی هستند, که برای استخراج به بدافزار دوم نیاز دارد.
بدافزار دوم توسط محققان VirusTotal پیدا شد و دانلود کننده است. دارای رمز عبور سخت کد شده "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ و از TripleDES برای رمزگشایی محموله ها از تصاویر استفاده می کند.
روی سیستم قربانی, بدافزار SteamHide ابتدا Win32_DiskDrive را برای VMWare و VBox درخواست می کند و در صورت وجود از آن خارج می شود.. سپس بدافزار بررسی می کند تا ببیند آیا حقوق سرپرست دارد یا خیر و سعی می کند با استفاده از cmstp.exe امتیازات را افزایش دهد.
در اولین راه اندازی, با استفاده از نام و پسوند مشخص شده در پیکربندی، خود را در پوشه LOCALAPPDATA کپی می کند.. SteamHide با ایجاد کلید زیر در رجیستری به سیستم پین می شود: \نرم افزارMicrosoftWindowsCurrentVersionRunBroMal
آدرس IP سرور مدیریت SteamHides در Pastebin ذخیره می شود, و می تواند از طریق یک نمایه Steam خاص به روز شود. مثل لودر, فایل اجرایی را از PropertyTagICCProfile استخراج می کند. علاوه بر این, پیکربندی به او اجازه می دهد تا شناسه خصوصیات تصویر و رشته جستجو را تغییر دهد, به این معنا که, در آینده, سایر پارامترهای تصویر را می توان برای مخفی کردن بدافزار در Steam استفاده کرد.
مثلا, بدافزار با بررسی وجود SquirrelTempSquirrelSetup.log بررسی می کند که Teams نصب شده است یا خیر., اما پس از آن هیچ کس برای این اطلاعات اتفاق نمی افتد. شاید این برای بررسی برنامه های نصب شده روی سیستم آلوده لازم باشد تا بعداً مورد حمله قرار گیرند.
متخصصان همچنین ChangeHash را کشف کردند() خرد, و به نظر می رسد که توسعه دهنده بدافزار قصد دارد چند شکلی را به نسخه های آینده اضافه کند. این بدافزار همچنین میتواند درخواستهایی را به توییتر ارسال کند, که در آینده می توان از آن برای دریافت دستورات از طریق توییتر استفاده کرد, یا بدافزار می تواند به عنوان یک ربات توییتر عمل کند.
بگذارید این را به شما یادآوری کنم محققان بدافزار Siloscape را کشف کردند که کانتینرهای سرور ویندوز و خوشه های Kubernetes را هدف قرار می دهد.