SteamHideはSteamプロフィール写真にマルウェアを隠します

Gデータアナリスト 珍しいSteamHideメソッドを発見しました Steamプロファイルの画像のメタデータにマルウェアを隠します.

Fまたは初めて, Steam上の奇妙な写真がサイバーセキュリティ研究者のMiltinhocによって発見されました, で彼の発見について話した人 さえずり 5月末に 2021.

G Dataの研究者は、一見するとこう言っています, そのような写真は無害です. 標準のEXIFツールは、疑わしいものを検出しません, ICCプロファイルのデータ長が正しくないことを警告することを除いて.

SteamHideはマルウェアを隠します

しかしながら, 現実に, ICCプロファイルの代わりに (これは通常、外部デバイスに色を表示するために使用されます, プリンターなど), このような画像には暗号化されたマルウェアが含まれています (PropertyTagICCProfile値内).

全体, 画像メタデータにマルウェアを隠すことは、まったく新しい現象ではありません, 研究者は認めます. しかしながら, Steamなどの大規模なゲームプラットフォームを使用して悪意のある画像をホストすると、問題が大幅に複雑になります. 攻撃者はいつでもマルウェアを置き換えることができます, プロフィール写真ファイルを変更するのと同じくらい簡単.

同時に, Steamは単にハッカーのためのツールとして機能し、マルウェアをホストするために使用されます. ダウンロードに関連する作業の大部分のすべて, 開梱, このようなペイロードの実行は、Steamプロファイルイメージにアクセスする外部コンポーネントによって行われます。. このペイロードは、通常の方法で配布することもできます, 電子メールまたはハッキングされたサイトを介して.

専門家は、Steamプロファイル自体からの画像はどちらでもないことを強調しています “感染性” 実行可能でもない. それらは実際のマルウェアを運ぶ手段にすぎません, 抽出するには2番目のマルウェアが必要です.

SteamHideはマルウェアを隠します

2番目のマルウェアはVirusTotalの研究者によって発見され、ダウンローダーです. ハードコードされたパスワードがあります。{PjlD \bzxS#;8@\x.3JT&<4^ MsTqE0″ TripleDESを使用して、画像からペイロードを復号化します。

被害者のシステムについて, SteamHideマルウェアは最初にVMWareとVBoxのWin32_DiskDriveを要求し、存在する場合は終了します. 次にマルウェアは、管理者権限があるかどうかを確認し、cmstp.exeを使用して特権を昇格させようとします。

最初の起動時, 構成で指定された名前と拡張子を使用して、自身をLOCALAPPDATAフォルダーにコピーします。. SteamHideは、レジストリに次のキーを作成することでシステムに固定されます: \Software Microsoft Windows CurrentVersion Run BroMal

管理サーバーSteamHidesのIPアドレスはPastebinに保存されています, 特定のSteamプロファイルを介して更新できます. ローダーのように, PropertyTagICCProfileから実行可能ファイルを抽出します. 又, 構成により、彼は画像プロパティのIDと検索文字列を変更できます, あれは, 将来は, 他の画像パラメーターを使用して、Steam上のマルウェアを隠すことができます。

SteamHideには他の機能はなく、マルウェアはまだ開発中であるようですが: 現在使用されていないコードセグメントがいくつか見つかりました。研究者は報告します

例えば, マルウェアは、SquirrelTemp SquirrelSetup.logの存在を確認することにより、Teamsがインストールされているかどうかを確認します。, しかしその後、誰もこの情報に気づきません. おそらくこれは、感染したシステムにインストールされているアプリケーションをチェックして、後で攻撃できるようにするために必要です。

スペシャリストはChangeHashも発見しました() スタブ, マルウェア開発者は将来のバージョンにポリモーフィズムを追加することを計画しているようです. マルウェアはTwitterにリクエストを送信することもできます, 将来的にはTwitter経由でコマンドを受信するために使用できます, または、マルウェアがTwitterボットとして機能する可能性があります。

思い出させてください 研究者は、WindowsServerコンテナとKubernetesクラスターを標的とするSiloscapeマルウェアを発見しました.

ヘルガ・スミス

ずっとコンピューターサイエンスに興味がありました, 特にデータセキュリティとテーマ, 現在と呼ばれている "データサイエンス", 10代前半から. 編集長としてウイルス駆除チームに参加する前に, 私はいくつかの企業でサイバーセキュリティの専門家として働いていました, Amazonの請負業者の1つを含む. 別の経験: 私はアーデン大学とレディング大学で教えています.

返信を残します

このサイトは、スパムを減らすためにアキスメットを使用しています. あなたのコメントデータが処理される方法を学びます.

トップに戻るボタン