SteamHide는 Steam 프로필 사진에서 맬웨어를 숨 깁니다.
G 데이터 분석가 특이한 SteamHide 방법을 발견했습니다. Steam 프로필의 이미지 메타 데이터에서 맬웨어를 숨 깁니다..
에프또는 처음, 사이버 보안 연구원 Miltinhoc이 Steam에서 이상한 사진을 발견했습니다., 그의 발견에 대해 이야기 한 사람 지저귀다 5 월 말 2021.G 데이터의 연구원들은 언뜻보기에, 그런 사진은 무해하다. 표준 EXIF 도구는 의심스러운 것을 감지하지 못합니다., ICC 프로파일의 데이터 길이가 잘못되었다는 경고를 제외하고.
하나, 현실에서, ICC 프로파일 대신 (일반적으로 외부 장치에 색상을 표시하는 데 사용됩니다., 프린터와 같은), 이러한 이미지에는 암호화 된 맬웨어가 포함되어 있습니다. (PropertyTagICCProfile 값 내부).
사무용 겉옷, 이미지 메타 데이터에 맬웨어를 숨기는 것은 전혀 새로운 현상이 아닙니다., 연구원들은 인정합니다. 하나, Steam과 같은 대형 게임 플랫폼을 사용하여 악성 이미지를 호스팅하면 문제가 상당히 복잡해집니다.. 공격자는 언제든지 맬웨어를 대체 할 수 있습니다., 프로필 사진 파일을 변경하는 것처럼 쉽게.
동시에, Steam은 단순히 해커를위한 도구로 사용되며 맬웨어를 호스팅하는 데 사용됩니다.. 다운로드와 관련된 모든 작업, 포장 풀기, 이러한 페이로드 실행은 Steam 프로필 이미지에 액세스하는 외부 구성 요소에 의해 수행됩니다.. 이 페이로드는 일반적인 방법으로도 배포 할 수 있습니다., 이메일 또는 해킹 된 사이트를 통해.
전문가들은 Steam 프로필 자체의 이미지가 “전염성” 실행 불가능. 실제 악성 코드를 전달하는 수단 일뿐입니다., 추출하려면 두 번째 맬웨어가 필요합니다..
두 번째 악성 코드는 VirusTotal의 연구원이 발견했으며 다운로더입니다.. 하드 코딩 된 암호가 있습니다.{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ 그리고 TripleDES를 사용하여 사진에서 페이로드를 해독합니다.
피해자의 시스템에, SteamHide 악성 코드는 먼저 VMWare 및 VBox에 대해 Win32_DiskDrive를 요청하고 존재하는 경우 종료합니다.. 그런 다음 멀웨어는 관리자 권한이 있는지 확인하고 cmstp.exe를 사용하여 권한 상승을 시도합니다.
최초 출시시, 구성에 지정된 이름과 확장자를 사용하여 LOCALAPPDATA 폴더에 자신을 복사합니다.. SteamHide는 레지스트리에 다음 키를 생성하여 시스템에 고정됩니다.: \소프트웨어 Microsoft Windows CurrentVersion Run BroMal
관리 서버 SteamHides의 IP 주소는 Pastebin에 저장됩니다., 특정 Steam 프로필을 통해 업데이트 할 수 있습니다.. 로더처럼, PropertyTagICCProfile에서 실행 파일을 추출합니다.. 그 위에, 구성을 통해 이미지 속성의 ID와 검색 문자열을 변경할 수 있습니다., 그건, 앞으로, 다른 이미지 매개변수를 사용하여 Steam에서 맬웨어를 숨길 수 있습니다.
예를 들면, 맬웨어는 SquirrelTemp SquirrelSetup.log가 있는지 확인하여 Teams가 설치되어 있는지 확인합니다., 하지만 그 후에는 아무도이 정보를. 나중에 공격을 받을 수 있도록 감염된 시스템에 설치된 응용 프로그램을 확인하는 데 필요할 수 있습니다.
전문가들은 또한 ChangeHash를 발견했습니다.() 그루터기, 멀웨어 개발자가 향후 버전에 다형성을 추가 할 계획 인 것 같습니다.. 악성 코드는 Twitter에 요청을 보낼 수도 있습니다., 향후 트위터를 통해 명령을 수신하는 데 사용할 수 있습니다., 또는 맬웨어가 Twitter 봇으로 작동할 수 있습니다.
상기시켜 드리겠습니다 연구원들은 Windows Server 컨테이너 및 Kubernetes 클러스터를 대상으로하는 Siloscape 맬웨어를 발견했습니다..