SteamHideはSteamプロフィール写真にマルウェアを隠します

Gデータアナリスト 珍しいSteamHideメソッドを発見しました Steamプロファイルの画像のメタデータにマルウェアを隠します.

G Dataの研究者は、一見するとこう言っています, そのような写真は無害です. 標準のEXIFツールは、疑わしいものを検出しません, ICCプロファイルのデータ長が正しくないことを警告することを除いて.

しかしながら, 現実に, ICCプロファイルの代わりに (これは通常、外部デバイスに色を表示するために使用されます, プリンターなど), このような画像には暗号化されたマルウェアが含まれています (PropertyTagICCProfile値内).

全体, 画像メタデータにマルウェアを隠すことは、まったく新しい現象ではありません, 研究者は認めます. しかしながら, Steamなどの大規模なゲームプラットフォームを使用して悪意のある画像をホストすると、問題が大幅に複雑になります. 攻撃者はいつでもマルウェアを置き換えることができます, プロフィール写真ファイルを変更するのと同じくらい簡単.

同時に, Steamは単にハッカーのためのツールとして機能し、マルウェアをホストするために使用されます. ダウンロードに関連する作業の大部分のすべて, 開梱, このようなペイロードの実行は、Steamプロファイルイメージにアクセスする外部コンポーネントによって行われます。. このペイロードは、通常の方法で配布することもできます, 電子メールまたはハッキングされたサイトを介して.

専門家は、Steamプロファイル自体からの画像はどちらでもないことを強調しています “感染性” 実行可能でもない. それらは実際のマルウェアを運ぶ手段にすぎません, 抽出するには2番目のマルウェアが必要です.

2番目のマルウェアはVirusTotalの研究者によって発見され、ダウンローダーです. ハードコードされたパスワードがあります。{PjlD \bzxS＃;8@\x.3JT&<4^ MsTqE0″ TripleDESを使用して、画像からペイロードを復号化します。

被害者のシステムについて, SteamHideマルウェアは最初にVMWareとVBoxのWin32_DiskDriveを要求し、存在する場合は終了します. 次にマルウェアは、管理者権限があるかどうかを確認し、cmstp.exeを使用して特権を昇格させようとします。

最初の起動時, 構成で指定された名前と拡張子を使用して、自身をLOCALAPPDATAフォルダーにコピーします。. SteamHideは、レジストリに次のキーを作成することでシステムに固定されます: \Software Microsoft Windows CurrentVersion Run BroMal

管理サーバーSteamHidesのIPアドレスはPastebinに保存されています, 特定のSteamプロファイルを介して更新できます. ローダーのように, PropertyTagICCProfileから実行可能ファイルを抽出します. 又, 構成により、彼は画像プロパティのIDと検索文字列を変更できます, あれは, 将来は, 他の画像パラメーターを使用して、Steam上のマルウェアを隠すことができます。

例えば, マルウェアは、SquirrelTemp SquirrelSetup.logの存在を確認することにより、Teamsがインストールされているかどうかを確認します。, しかしその後、誰もこの情報に気づきません. おそらくこれは、感染したシステムにインストールされているアプリケーションをチェックして、後で攻撃できるようにするために必要です。

スペシャリストはChangeHashも発見しました() スタブ, マルウェア開発者は将来のバージョンにポリモーフィズムを追加することを計画しているようです. マルウェアはTwitterにリクエストを送信することもできます, 将来的にはTwitter経由でコマンドを受信するために使用できます, または、マルウェアがTwitterボットとして機能する可能性があります。

思い出させてください 研究者は、WindowsServerコンテナとKubernetesクラスターを標的とするSiloscapeマルウェアを発見しました.