SteamHide skjuler skadelig programvare i Steam-profilbilder
G Dataanalytikere har oppdaget en uvanlig SteamHide-metode som skjuler skadelig programvare i metadataene til bilder på Steam-profiler.
Feller første gang, rare bilder på Steam ble oppdaget av cybersikkerhetsforsker Miltinhoc, som snakket om funnet hans på Twitter i slutten av mai 2021.Forskere ved G Data sier det ved første øyekast, slike bilder er ufarlige. Standard EXIF-verktøy oppdager ikke noe mistenkelig i dem, bortsett fra at de advarer om at datalengden i ICC-profilen er feil.
derimot, i virkeligheten, i stedet for en ICC-profil (som vanligvis brukes til å vise farger på eksterne enheter, som skrivere), slike bilder inneholder kryptert skadelig programvare (inne i PropertyTagICCProfile-verdien).
Alt i alt, å skjule skadelig programvare i bildemetadata er ikke noe nytt fenomen i det hele tatt, innrømmer forskerne. derimot, ved å bruke en stor spillplattform som Steam for å være vert for ondsinnede bilder kompliserer saken betydelig. Angripere kan når som helst erstatte skadelig programvare, like enkelt som å endre profilbildefilen.
Samtidig, Steam fungerer bare som et verktøy for hackere og brukes til å være vert for skadelig programvare. Hovedtyngden av arbeidet med nedlasting, utpakking, og å utføre en slik nyttelast gjøres av en ekstern komponent som får tilgang til Steam-profilbildet. Denne nyttelasten kan også fordeles på vanlig måte, i e-post eller gjennom hackede nettsteder.
Ekspertene understreker at bildene fra Steam-profilene i seg selv ikke er noen av dem “smittsom” eller kjørbar. De er bare et middel til å bære den faktiske skadelige programvaren, som krever en annen skadelig programvare for å trekke ut.
Den andre skadelige programvaren ble funnet av forskere ved VirusTotal, og den er en nedlasting. Den har et hardt kodet passord “{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ and uses TripleDES to decrypt payloads from pictures.
På offerets system, SteamHide-skadelig programvare ber først Win32_DiskDrive for VMWare og VBox og avsluttes hvis de eksisterer. The malware then checks to see if it has administrator rights and tries to elevate privileges using cmstp.exe.
Ved første lansering, den kopierer seg selv til LOCALAPPDATA-mappen med navnet og utvidelsen som er spesifisert i konfigurasjonen. SteamHide er festet til systemet ved å opprette følgende nøkkel i registeret: \Programvare Microsoft Windows CurrentVersion Run BroMal
IP-adressen til administrerende server SteamHides er lagret på Pastebin, og kan oppdateres gjennom en spesifikk Steam-profil. Som lasteren, den trekker ut den kjørbare filen fra PropertyTagICCProfile. Dess, konfigurasjonen tillater ham å endre ID for bildegenskapene og søkestrengen, det er, i fremtiden, other image parameters can be used to hide malware on Steam.
For eksempel, skadelig programvare sjekker om Teams er installert ved å sjekke for tilstedeværelsen av SquirrelTemp SquirrelSetup.log, men etter det skjer ingen med denne informasjonen. Perhaps this is necessary to check installed applications on the infected system so that they can be attacked later.
Spesialistene oppdaget også ChangeHash() stubbe, og det ser ut til at malwareutvikleren planlegger å legge polymorfisme til fremtidige versjoner. Malware kan også sende forespørsler til Twitter, som i fremtiden kan brukes til å motta kommandoer via Twitter, or the malware can act as a Twitter bot.
La meg minne deg på det Forskere oppdaget Siloscape malware rettet mot Windows Server-containere og Kubernetes-klynger.
