SteamHide cache les logiciels malveillants dans les images de profil Steam
Analystes de données G ont découvert une méthode SteamHide inhabituelle qui cache les logiciels malveillants dans les métadonnées des images sur les profils Steam.
Fou la première fois, Des images étranges sur Steam ont été découvertes par le chercheur en cybersécurité Miltinhoc, qui a parlé de sa trouvaille sur Gazouillement fin mai 2021.Les chercheurs de G Data disent qu'à première vue, de telles images sont inoffensives. Les outils EXIF standard ne détectent rien de suspect en eux, sauf qu'ils avertissent que la longueur des données dans le profil ICC est incorrecte.
toutefois, en réalité, au lieu d'un profil ICC (qui est généralement utilisé pour afficher les couleurs sur les périphériques externes, comme les imprimantes), ces images contiennent des logiciels malveillants cryptés (à l'intérieur de la valeur PropertyTagICCProfile).
Globalement, cacher des logiciels malveillants dans des métadonnées d'image n'est pas du tout un phénomène nouveau, les chercheurs admettent. toutefois, l'utilisation d'une grande plate-forme de jeu telle que Steam pour héberger des images malveillantes complique considérablement les choses. Les attaquants peuvent remplacer les logiciels malveillants à tout moment, aussi facilement que de changer le fichier photo de profil.
En même temps, Steam sert simplement d'outil pour les pirates et est utilisé pour héberger des logiciels malveillants. Tout le gros du travail de téléchargement, déballage, et l'exécution d'une telle charge utile est effectuée par un composant externe qui accède à l'image du profil Steam. Cette charge utile peut également être distribuée de la manière habituelle, dans les e-mails ou via des sites piratés.
Les experts soulignent que les images des profils Steam elles-mêmes ne sont ni “infectieux” ni exécutable. Ils ne sont qu'un moyen de transporter le malware réel, qui nécessite un deuxième malware pour extraire.
Le deuxième malware a été trouvé par des chercheurs de VirusTotal et c'est un téléchargeur. Il a un mot de passe codé en dur "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ et utilise TripleDES pour déchiffrer les charges utiles des images.
Sur le système de la victime, le malware SteamHide demande d'abord Win32_DiskDrive pour VMWare et VBox et se ferme s'ils existent. Le malware vérifie ensuite s'il dispose des droits d'administrateur et essaie d'élever les privilèges à l'aide de cmstp.exe.
Au premier lancement, il se copie dans le dossier LOCALAPPDATA en utilisant le nom et l'extension spécifiés dans la configuration. SteamHide est épinglé au système en créant la clé suivante dans le registre: \LogicielMicrosoftWindowsCurrentVersionRunBroMal
L'adresse IP du serveur de gestion SteamHides est stockée sur Pastebin, et peut être mis à jour via un profil Steam spécifique. Comme le chargeur, il extrait l'exécutable de PropertyTagICCProfile. en outre, la configuration lui permet de changer l'ID des propriétés de l'image et la chaîne de recherche, C'est, à l'avenir, d'autres paramètres d'image peuvent être utilisés pour masquer les logiciels malveillants sur Steam.
Par exemple, le malware vérifie si Teams est installé en vérifiant la présence de SquirrelTempSquirrelSetup.log, mais après ça personne n'arrive à cette information. Cela est peut-être nécessaire pour vérifier les applications installées sur le système infecté afin qu'elles puissent être attaquées plus tard.
Les spécialistes ont également découvert le ChangeHash() bout, et il semble que le développeur du malware envisage d'ajouter du polymorphisme aux futures versions. Le malware peut également envoyer des requêtes à Twitter, qui à l'avenir peut être utilisé pour recevoir des commandes via Twitter, ou le malware peut agir comme un bot Twitter.
Permettez-moi de vous rappeler que Les chercheurs ont découvert le malware Siloscape ciblant les conteneurs Windows Server et les clusters Kubernetes.
