SteamHide nasconde il malware nelle immagini del profilo di Steam
Analisti G Data Data hanno scoperto un metodo SteamHide insolito che nasconde malware nei metadati delle immagini sui profili Steam.
Fo la prima volta, strane immagini su Steam sono state scoperte dal ricercatore di sicurezza informatica Miltinhoc, che ha parlato della sua scoperta su cinguettio a fine maggio 2021.I ricercatori di G Data lo dicono a prima vista, queste immagini sono innocue. Gli strumenti EXIF standard non rilevano nulla di sospetto in essi, tranne per il fatto che avvertono che la lunghezza dei dati nel profilo ICC non è corretta.
però, in realtà, invece di un profilo ICC (che di solito viene utilizzato per visualizzare i colori su dispositivi esterni, come le stampanti), tali immagini contengono malware crittografato (all'interno del valore PropertyTagICCProfile).
Complessivamente, nascondere il malware nei metadati delle immagini non è affatto un fenomeno nuovo, i ricercatori ammettono. però, l'utilizzo di una piattaforma di gioco di grandi dimensioni come Steam per ospitare immagini dannose complica notevolmente le cose. Gli aggressori possono sostituire il malware in qualsiasi momento, altrettanto facile come cambiare il file dell'immagine del profilo.
Allo stesso tempo, Steam funge semplicemente da strumento per gli hacker e viene utilizzato per ospitare malware. Tutto il grosso del lavoro coinvolto nel download, disimballaggio, e l'esecuzione di tale payload viene eseguita da un componente esterno che accede all'immagine del profilo di Steam. Questo carico utile può anche essere distribuito nel modo consueto, nelle e-mail o tramite siti compromessi.
Gli esperti sottolineano che le immagini dei profili Steam in sé non sono né l'uno né l'altro “infettivo” né eseguibile. Sono solo un mezzo per trasportare il vero malware, che richiede un secondo malware per l'estrazione.
Il secondo malware è stato trovato dai ricercatori di VirusTotal ed è un downloader. Ha una password codificata "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ e utilizza TripleDES per decrittografare i payload dalle immagini.
Sul sistema della vittima, il malware SteamHide prima richiede Win32_DiskDrive per VMWare e VBox ed esce se esistono. Il malware verifica quindi se dispone dei diritti di amministratore e tenta di elevare i privilegi utilizzando cmstp.exe.
Al primo lancio, si copia nella cartella LOCALAPPDATA utilizzando il nome e l'estensione specificati nella configurazione. SteamHide viene aggiunto al sistema creando la seguente chiave nel registro: \SoftwareMicrosoftWindowsVersione correnteEseguiBroMal
L'indirizzo IP del server di gestione SteamHides è memorizzato su Pastebin, e può essere aggiornato tramite un profilo Steam specifico. Come il caricatore, estrae l'eseguibile da PropertyTagICCProfile. inoltre, la configurazione gli permette di cambiare l'ID delle proprietà dell'immagine e la stringa di ricerca, questo è, nel futuro, altri parametri dell'immagine possono essere utilizzati per nascondere malware su Steam.
Per esempio, il malware controlla se Teams è installato verificando la presenza di SquirrelTempSquirrelSetup.log, ma dopo non succede a nessuno di queste informazioni. Forse questo è necessario per controllare le applicazioni installate sul sistema infetto in modo che possano essere attaccate in seguito.
Gli specialisti hanno scoperto anche il ChangeHash() stub, e sembra che lo sviluppatore di malware stia pianificando di aggiungere polimorfismo alle versioni future. Il malware può anche inviare richieste a Twitter, che in futuro potrà essere utilizzato per ricevere comandi via Twitter, oppure il malware può agire come un bot di Twitter.
Lascia che te lo ricordi I ricercatori hanno scoperto il malware Siloscape che prende di mira i container Windows Server e i cluster Kubernetes.
