SteamHide ukrywa złośliwe oprogramowanie na zdjęciach profilowych Steam
Analitycy G Data odkryli niezwykłą metodę SteamHide ukrywa złośliwe oprogramowanie w metadanych obrazów w profilach Steam.
falub pierwszy raz, dziwne zdjęcia na Steam zostały odkryte przez badacza cyberbezpieczeństwa Miltinhoca, który opowiadał o swoim znalezisku Świergot pod koniec maja 2021.Naukowcy z G Data twierdzą, że na pierwszy rzut oka, takie zdjęcia są nieszkodliwe. Standardowe narzędzia EXIF nie wykrywają w nich niczego podejrzanego, poza tym, że ostrzegają, że długość danych w profilu ICC jest nieprawidłowa.
jednak, w rzeczywistości, zamiast profilu ICC (który jest zwykle używany do wyświetlania kolorów na urządzeniach zewnętrznych, takich jak drukarki), takie obrazy zawierają zaszyfrowane złośliwe oprogramowanie (wewnątrz wartości PropertyTagICCProfile).
Ogólnie, ukrywanie złośliwego oprogramowania w metadanych obrazu wcale nie jest nowym zjawiskiem, badacze przyznają. jednak, używanie dużej platformy do gier, takiej jak Steam, do hostowania złośliwych obrazów znacznie komplikuje sprawę. Atakujący są w stanie w każdej chwili zastąpić złośliwe oprogramowanie, tak samo łatwo, jak zmiana pliku zdjęcia profilowego.
W tym samym czasie, Steam służy po prostu jako narzędzie dla hakerów i służy do hostowania złośliwego oprogramowania. Cała większość pracy związanej z pobieraniem, rozpakowywanie, a wykonanie takiego ładunku jest wykonywane przez zewnętrzny komponent, który uzyskuje dostęp do obrazu profilu Steam. Ta ładowność może być również dystrybuowana w zwykły sposób, w e-mailach lub za pośrednictwem zhakowanych witryn.
Eksperci podkreślają, że same obrazy z profili Steam też nie są “zakaźny” ani wykonywalny. Są tylko środkiem do przenoszenia prawdziwego złośliwego oprogramowania, który wymaga drugiego złośliwego oprogramowania do wyodrębnienia.
Drugie szkodliwe oprogramowanie zostało wykryte przez badaczy z VirusTotal i jest to downloader. Ma zakodowane hasło „{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ i używa TripleDES do odszyfrowywania ładunków ze zdjęć.
W systemie ofiary, złośliwe oprogramowanie SteamHide najpierw żąda Win32_DiskDrive dla VMWare i VBox i kończy działanie, jeśli istnieją. Złośliwe oprogramowanie sprawdza następnie, czy ma uprawnienia administratora i próbuje podnieść uprawnienia za pomocą cmstp.exe.
Przy pierwszym uruchomieniu, kopiuje się do folderu LOCALAPPDATA przy użyciu nazwy i rozszerzenia określonych w konfiguracji. SteamHide jest przypinany do systemu poprzez utworzenie następującego klucza w rejestrze: \OprogramowanieMicrosoftWindowsCurrentVersionRunBroMal
Adres IP serwera zarządzającego SteamHides jest przechowywany w Pastebin, i można je aktualizować za pomocą określonego profilu Steam. Jak ładowarka, wyodrębnia plik wykonywalny z PropertyTagICCProfile. co więcej, konfiguracja pozwala mu na zmianę identyfikatora właściwości obrazu i ciągu wyszukiwania, to jest, w przyszłości, inne parametry obrazu mogą zostać użyte do ukrycia złośliwego oprogramowania na Steam.
Na przykład, złośliwe oprogramowanie sprawdza, czy aplikacja Teams jest zainstalowana, sprawdzając obecność pliku SquirrelTempSquirrelSetup.log, ale potem nikomu nie przytrafia się ta informacja. Być może jest to konieczne do sprawdzenia zainstalowanych aplikacji w zainfekowanym systemie, aby później mogły zostać zaatakowane.
Specjaliści odkryli również ChangeHash() kikut, i wygląda na to, że twórca złośliwego oprogramowania planuje dodać polimorfizm do przyszłych wersji. Złośliwe oprogramowanie może również wysyłać żądania do Twittera, które w przyszłości można wykorzystać do odbierania poleceń przez Twitter, lub złośliwe oprogramowanie może działać jako bot Twittera.
Przypomnę, że Badacze odkryli złośliwe oprogramowanie Siloscape atakujące kontenery Windows Server i klastry Kubernetes.
