SteamHide verbergt malware in Steam-profielfoto's
G Data-analisten hebben een ongebruikelijke SteamHide-methode ontdekt die malware verbergt in de metadata van afbeeldingen op Steam-profielen.
Fof de eerste keer, vreemde afbeeldingen op Steam werden ontdekt door cybersecurity-onderzoeker Miltinhoc, wie sprak over zijn vondst op tjilpen eind mei 2021.Dat zeggen onderzoekers van G Data op het eerste gezicht, zulke foto's zijn ongevaarlijk. Standaard EXIF-tools detecteren er niets verdachts in, behalve dat ze waarschuwen dat de gegevenslengte in het ICC-profiel onjuist is.
Echter, in werkelijkheid, in plaats van een ICC-profiel (die meestal wordt gebruikt om kleuren op externe apparaten weer te geven, zoals printers), dergelijke afbeeldingen bevatten versleutelde malware (binnen de PropertyTagICCProfile-waarde).
Algemeen, het verbergen van malware in metadata van afbeeldingen is helemaal geen nieuw fenomeen, de onderzoekers geven toe:. Echter, het gebruik van een groot gamingplatform zoals Steam om kwaadaardige afbeeldingen te hosten, bemoeilijkt de zaken aanzienlijk. Aanvallers kunnen malware op elk moment vervangen, net zo gemakkelijk als het wijzigen van het profielfotobestand.
Tegelijkertijd, Steam dient gewoon als een hulpmiddel voor hackers en wordt gebruikt om malware te hosten. Al het grootste deel van het werk dat gepaard gaat met downloaden, uitpakken, en het uitvoeren van een dergelijke payload wordt gedaan door een externe component die toegang heeft tot de Steam-profielafbeelding. Deze lading kan ook op de gebruikelijke manier worden verdeeld, in e-mails of via gehackte sites.
De experts benadrukken dat de afbeeldingen van Steam-profielen zelf ook niet zijn “besmettelijk” noch uitvoerbaar. Ze zijn slechts een middel om de daadwerkelijke malware te vervoeren, waarvoor een tweede malware nodig is om te extraheren.
De tweede malware is gevonden door onderzoekers van VirusTotal en is een downloader. Het heeft een hard gecodeerd wachtwoord "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ en gebruikt TripleDES om payloads van afbeeldingen te decoderen.
Op het systeem van het slachtoffer, de SteamHide-malware vraagt eerst Win32_DiskDrive voor VMWare en VBox aan en sluit af als ze bestaan. De malware controleert vervolgens of het beheerdersrechten heeft en probeert de rechten te verhogen met cmstp.exe.
Bij de eerste lancering, het kopieert zichzelf naar de map LOCALAPPDATA met de naam en extensie die in de configuratie zijn opgegeven. SteamHide wordt aan het systeem vastgemaakt door de volgende sleutel in het register te maken:: \SoftwareMicrosoftWindowsCurrentVersionRunBroMal
Het IP-adres van de beherende server SteamHides wordt opgeslagen op Pastebin, en kan worden bijgewerkt via een specifiek Steam-profiel. Zoals de lader, het extraheert het uitvoerbare bestand uit PropertyTagICCProfile. Bovendien, de configuratie stelt hem in staat om de ID van de afbeeldingseigenschappen en de zoekreeks te wijzigen, dat is, in de toekomst, andere afbeeldingsparameters kunnen worden gebruikt om malware op Steam te verbergen.
Bijvoorbeeld, de malware controleert of Teams is geïnstalleerd door te controleren op de aanwezigheid van SquirrelTempSquirrelSetup.log, maar daarna gebeurt er niemand met deze informatie. Misschien is dit nodig om geïnstalleerde applicaties op het geïnfecteerde systeem te controleren, zodat ze later kunnen worden aangevallen.
De specialisten ontdekten ook de ChangeHash() stomp, en het lijkt erop dat de malware-ontwikkelaar van plan is polymorfisme toe te voegen aan toekomstige versies. De malware kan ook verzoeken naar Twitter sturen, waarmee in de toekomst opdrachten via Twitter kunnen worden ontvangen, of de malware kan fungeren als een Twitter-bot.
Laat me je eraan herinneren dat Onderzoekers ontdekten Siloscape-malware gericht op Windows Server-containers en Kubernetes-clusters.
