SteamHide piilottaa haittaohjelmat Steam-profiilikuvissa
G Data-analyytikot ovat löytäneet epätavallisen SteamHide-menetelmän joka piilottaa haittaohjelmat Steam-profiilien kuvien metatietoihin.
Ftai ensimmäistä kertaa, Kyberturvallisuuden tutkija Miltinhoc löysi outoja kuvia Steamistä, joka puhui löytöstään Viserrys toukokuun lopussa 2021.G Datan tutkijat sanovat sen ensi silmäyksellä, tällaiset kuvat ovat vaarattomia. Tavalliset EXIF-työkalut eivät havaitse niissä mitään epäilyttävää, paitsi että he varoittavat, että ICC-profiilin datan pituus on väärä.
kuitenkin, todellisuudessa, ICC-profiilin sijaan (jota käytetään yleensä värien näyttämiseen ulkoisissa laitteissa, kuten tulostimet), tällaiset kuvat sisältävät salattuja haittaohjelmia (sisällä PropertyTagICCProfile-arvossa).
Yleensä ottaen, haittaohjelmien piilottaminen kuvan metatietoihin ei ole ollenkaan uusi ilmiö, tutkijat myöntävät. kuitenkin, Suurten pelialustojen, kuten Steamin, käyttäminen haitallisten kuvien isännöimiseksi vaikeuttaa asioita merkittävästi. Hyökkääjät pystyvät korvaamaan haittaohjelmat milloin tahansa, yhtä helposti kuin profiilikuvatiedoston vaihtaminen.
Samaan aikaan, Steam toimii yksinkertaisesti hakkereiden työkaluna ja sitä käytetään haittaohjelmien isännöimiseen. Suurin osa lataamiseen liittyvästä työstä, purkaminen, ja tällaisen hyötykuorman suorittaminen tapahtuu ulkoisella komponentilla, joka käyttää Steam-profiilikuvaa. Tämä hyötykuorma voidaan myös jakaa tavalliseen tapaan, sähköpostiviesteissä tai hakkeroitujen sivustojen kautta.
Asiantuntijat korostavat, että itse Steam-profiilien kuvat eivät ole kumpaakaan “tarttuva” eikä suoritettava. Ne ovat vain keino kuljettaa todellista haittaohjelmaa, joka vaatii toisen haittaohjelman purkamiseen.
Toisen haittaohjelman löysivät tutkijat VirusTotalilta, ja se on latausohjelma. Sillä on kovakoodattu salasana “{PjlD \bzxS #;8@\x 3JT&<4^ MsTqE0″ ja käyttää TripleDES: ää salaamaan kuvien hyötykuormat.
Uhrin järjestelmässä, SteamHide-haittaohjelma pyytää ensin Win32_DiskDriveä VMWarelle ja VBoxille ja poistuu, jos niitä on. Haittaohjelma tarkistaa sitten, onko sillä järjestelmänvalvojan oikeuksia, ja yrittää nostaa käyttöoikeuksia cmstp.exe-ohjelmalla.
Ensimmäisellä laukaisulla, se kopioi itsensä LOCALAPPDATA-kansioon määrityksessä määritetyllä nimellä ja laajennuksella. SteamHide kiinnitetään järjestelmään luomalla seuraava avain rekisteriin: \Ohjelmisto Microsoft Windows CurrentVersion Run BroMal
Hallinnoivan palvelimen IP-osoite SteamHides on tallennettu Pastebiniin, ja se voidaan päivittää tietyn Steam-profiilin kautta. Kuten kuormaaja, se poimi suoritettavan tiedoston PropertyTagICCProfilesta. Lisäksi, kokoonpanon avulla hän voi muuttaa kuvan ominaisuuksien tunnusta ja hakumerkkijonoa, tuo on, tulevaisuudessa, muita kuvan parametreja voidaan käyttää haittaohjelmien piilottamiseen Steamissa.
Esimerkiksi, haittaohjelma tarkistaa, onko Teams asennettu tarkistamalla SquirrelTemp SquirrelSetup.log, mutta sen jälkeen kukaan ei tapahdu näille tiedoille. Ehkä tämä on välttämätöntä tarkistaa tartunnan saaneen järjestelmään asennetut sovellukset, jotta niitä voidaan hyökätä myöhemmin.
Asiantuntijat löysivät myös ChangeHashin() tynkä, ja näyttää siltä, että haittaohjelmien kehittäjä aikoo lisätä polymorfiaa tuleviin versioihin. Haittaohjelma voi lähettää pyyntöjä myös Twitteriin, joita voidaan tulevaisuudessa käyttää komentojen vastaanottamiseen Twitterin kautta, tai haittaohjelma voi toimia Twitter-botina.
Haluan muistuttaa teitä siitä Tutkijat löysivät Siloscape-haittaohjelmat, jotka kohdistuvat Windows Server -säiliöihin ja Kubernetes-klustereihin.