SteamHide מסתיר תוכנות זדוניות בתמונות פרופיל Steam
אנליסטים של נתונים גילו שיטת SteamHide יוצאת דופן שמסתיר תוכנות זדוניות במטא נתונים של תמונות בפרופילי Steam.
Fאו בפעם הראשונה, תמונות מוזרות ב- Steam התגלו על ידי חוקר אבטחת הסייבר מילטינהוק, שדיבר על הממצא שלו ב- טוויטר בסוף מאי 2021.חוקרים ב- G Data אומרים זאת במבט ראשון, תמונות כאלה אינן מזיקות. כלי EXIF סטנדרטיים אינם מזהים בהם שום דבר חשוד, אלא שהם מזהירים שאורך הנתונים בפרופיל ICC אינו נכון.
למרות זאת, במציאות, במקום פרופיל ICC (המשמש בדרך כלל להצגת צבעים במכשירים חיצוניים, כגון מדפסות), תמונות כאלה מכילות תוכנות זדוניות מוצפנות (בתוך ערך PropertyTagICCProfile).
באופן כללי, הסתרת תוכנות זדוניות במטא-נתונים של תמונה אינה תופעה חדשה כלל, החוקרים מודים. למרות זאת, שימוש בפלטפורמת משחק גדולה כמו Steam לאירוח תמונות זדוניות מסבך את העניינים באופן משמעותי. תוקפים מסוגלים להחליף תוכנה זדונית בכל עת, באותה קלות כמו שינוי קובץ תמונת הפרופיל.
באותו הזמן, Steam פשוט משמש ככלי להאקרים ומשמש לארח תוכנות זדוניות. כל עיקר העבודה הכרוכה בהורדה, פורק, וביצוע מטען כזה נעשה על ידי רכיב חיצוני שניגש לתמונת פרופיל Steam. ניתן לחלק מטען זה גם בדרך הרגילה, במיילים או דרך אתרים פרוצים.
המומחים מדגישים כי התמונות מפרופילי Steam עצמם אינן “מִדַבֵּק” וגם לא ניתן לבצע. הם רק אמצעי לשאת את התוכנה הזדונית בפועל, שדורש תוכנה זדונית שנייה לחילוץ.
התוכנה הזדונית השנייה נמצאה על ידי חוקרים ב- VirusTotal והיא הורדה. יש לו סיסמה מקודדת "{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ ומשתמש ב-TripleDES כדי לפענח מטענים מתמונות.
על המערכת של הקורבן, התוכנה הזדונית של SteamHide מבקשת תחילה את Win32_DiskDrive עבור VMWare ו- VBox ויוצאת אם הן קיימות. לאחר מכן, התוכנה הזדונית בודקת אם יש לה זכויות מנהל ומנסה להעלות הרשאות באמצעות cmstp.exe.
בהשקה ראשונה, הוא מעתיק את עצמו לתיקיית LOCALAPPDATA באמצעות השם והתוסף שצוינו בתצורה. SteamHide מוצמד למערכת על ידי יצירת המפתח הבא ברישום: \תוכנה Microsoft Windows CurrentVersion Run BroMal
כתובת ה- IP של השרת המנהל SteamHides מאוחסנת ב- Pastebin, וניתן לעדכן באמצעות פרופיל Steam ספציפי. כמו המטעין, זה מחלץ את ההפעלה מ- PropertyTagICCProfile. יתר על כך, התצורה מאפשרת לו לשנות את מזהה מאפייני התמונה ומחרוזת החיפוש, זה, בעתיד, ניתן להשתמש בפרמטרים אחרים של תמונה כדי להסתיר תוכנות זדוניות ב-Steam.
לדוגמה, התוכנה הזדונית בודקת אם Teams מותקנת על ידי בדיקת נוכחותו של SquirrelTemp SquirrelSetup.log, אבל אחרי זה אף אחד לא קורה למידע הזה. אולי זה נחוץ כדי לבדוק יישומים מותקנים במערכת הנגועה כדי שניתן יהיה לתקוף אותם מאוחר יותר.
המומחים גילו גם את ה- ChangeHash() בָּדָל, ונראה כי מפתח התוכנות הזדוניות מתכנן להוסיף פולימורפיזם לגרסאות עתידיות. התוכנה הזדונית יכולה גם לשלוח בקשות לטוויטר, שבעתיד ניתן להשתמש בהם כדי לקבל פקודות באמצעות טוויטר, או שהתוכנה הזדונית יכולה לפעול כבוט טוויטר.
תן לי להזכיר לך את זה חוקרים גילו תוכנות זדוניות של Siloscape הממוקדות למכולות של Windows Server ולאשכולות Kubernetes.