SteamHide Menyembunyikan Perisian Hasad dalam Gambar Profil Steam
G Penganalisis data telah menemui kaedah SteamHide yang luar biasa yang menyembunyikan perisian hasad dalam metadata imej pada profil Steam.
Fatau kali pertama, gambar pelik di Steam telah ditemui oleh penyelidik keselamatan siber Miltinhoc, yang bercakap tentang penemuannya pada Twitter pada penghujung bulan Mei 2021.Penyelidik di G Data mengatakan bahawa pada pandangan pertama, gambar sedemikian tidak berbahaya. Alat EXIF standard tidak mengesan apa-apa yang mencurigakan di dalamnya, kecuali mereka memberi amaran bahawa panjang data dalam profil ICC adalah tidak betul.
Namun begitu, dalam realiti, bukannya profil ICC (yang biasanya digunakan untuk memaparkan warna pada peranti luaran, seperti pencetak), imej sedemikian mengandungi perisian hasad yang disulitkan (dalam nilai PropertyTagICCProfile).
Keseluruhannya, menyembunyikan perisian hasad dalam metadata imej bukanlah fenomena baharu sama sekali, penyelidik mengakui. Namun begitu, menggunakan platform permainan yang besar seperti Steam untuk mengehoskan imej berniat jahat merumitkan perkara dengan ketara. Penyerang boleh menggantikan perisian hasad pada bila-bila masa, semudah menukar fail gambar profil.
Pada masa yang sama, Steam hanya berfungsi sebagai alat untuk penggodam dan digunakan untuk mengehoskan perisian hasad. Semua sebahagian besar kerja yang terlibat dalam memuat turun, membongkar, dan melaksanakan muatan sedemikian dilakukan oleh komponen luaran yang mengakses imej profil Steam. Muatan ini juga boleh diagihkan dengan cara biasa, dalam e-mel atau melalui tapak yang digodam.
Pakar menekankan bahawa imej dari profil Steam sendiri tidak sama “berjangkit” mahupun boleh dilaksanakan. Mereka hanyalah satu cara untuk membawa perisian hasad sebenar, yang memerlukan perisian hasad kedua untuk mengekstrak.
Malware kedua ditemui oleh penyelidik di VirusTotal dan ia adalah pemuat turun. Ia mempunyai kata laluan berkod keras "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ dan menggunakan TripleDES untuk menyahsulit muatan daripada gambar.
Pada sistem mangsa, perisian hasad SteamHide mula-mula meminta Win32_DiskDrive untuk VMWare dan VBox dan keluar jika wujud. Malware kemudian menyemak untuk melihat sama ada ia mempunyai hak pentadbir dan cuba meningkatkan keistimewaan menggunakan cmstp.exe.
Pada pelancaran pertama, ia menyalin dirinya ke folder LOCALAPPDATA menggunakan nama dan sambungan yang dinyatakan dalam konfigurasi. SteamHide disematkan pada sistem dengan mencipta kunci berikut dalam pendaftaran: \Software\Microsoft\Windows\CurrentVersion\Run\BroMal
Alamat IP pelayan pengurusan SteamHides disimpan pada Pastebin, dan boleh dikemas kini melalui profil Steam tertentu. Seperti pemuat, ia mengekstrak boleh laku daripada PropertyTagICCProfile. Lebih-lebih lagi, konfigurasi membolehkan dia menukar ID sifat imej dan rentetan carian, itu dia, pada masa hadapan, parameter imej lain boleh digunakan untuk menyembunyikan perisian hasad pada Steam.
Sebagai contoh, the malware checks if Teams is installed by checking for the presence of SquirrelTemp\SquirrelSetup.log, tetapi selepas itu tiada siapa yang berlaku kepada maklumat ini. Mungkin ini perlu untuk menyemak aplikasi yang dipasang pada sistem yang dijangkiti supaya ia boleh diserang kemudian.
Pakar juga menemui ChangeHash() rintisan, dan nampaknya pembangun perisian hasad sedang merancang untuk menambah polimorfisme pada versi masa hadapan. Malware juga boleh menghantar permintaan ke Twitter, yang pada masa hadapan boleh digunakan untuk menerima arahan melalui Twitter, atau perisian hasad boleh bertindak sebagai bot Twitter.
Biar saya ingatkan anda itu Penyelidik menemui perisian hasad Siloscape yang menyasarkan bekas Windows Server dan kelompok Kubernetes.
