SteamHide esconde malware em fotos de perfil do Steam
Analistas da G Data descobriram um método SteamHide incomum que esconde malware nos metadados das imagens nos perfis do Steam.
Fou a primeira vez, imagens estranhas no Steam foram descobertas pelo pesquisador de segurança cibernética Miltinhoc, que falou sobre seu achado em Twitter no final de maio 2021.Pesquisadores da G Data dizem que à primeira vista, tais fotos são inofensivas. As ferramentas EXIF padrão não detectam nada de suspeito nelas, exceto que eles avisam que o comprimento dos dados no perfil ICC está incorreto.
Contudo, na realidade, em vez de um perfil ICC (que geralmente é usado para exibir cores em dispositivos externos, como impressoras), tais imagens contêm malware criptografado (dentro do valor PropertyTagICCProfile).
No geral, esconder malware em metadados de imagem não é um fenômeno novo em tudo, os pesquisadores admitem. Contudo, usar uma grande plataforma de jogos como o Steam para hospedar imagens maliciosas complica significativamente as coisas. Os invasores podem substituir o malware a qualquer momento, tão facilmente quanto alterar o arquivo de imagem do perfil.
Ao mesmo tempo, O Steam serve simplesmente como uma ferramenta para hackers e é usado para hospedar malware. Todo o trabalho envolvido no download, desempacotando, e a execução de tal carga é feita por um componente externo que acessa a imagem do perfil do Steam. Esta carga útil também pode ser distribuída da maneira usual, em e-mails ou sites hackeados.
Os especialistas enfatizam que as próprias imagens dos perfis do Steam não são “infeccioso” nem executável. Eles são apenas um meio de transportar o malware real, que requer um segundo malware para extrair.
O segundo malware foi encontrado por pesquisadores do VirusTotal e é um downloader. Ele tem uma senha embutida em código “{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ e usa TripleDES para descriptografar cargas úteis de imagens.
No sistema da vítima, o malware SteamHide primeiro solicita Win32_DiskDrive para VMWare e VBox e sai, se existirem. O malware então verifica se tem direitos de administrador e tenta elevar os privilégios usando cmstp.exe.
No primeiro lançamento, ele se copia para a pasta LOCALAPPDATA usando o nome e a extensão especificados na configuração. SteamHide é fixado no sistema criando a seguinte chave no registro: \Software Microsoft Windows CurrentVersion Run BroMal
O endereço IP do servidor de gerenciamento SteamHides é armazenado no Pastebin, e pode ser atualizado através de um perfil específico do Steam. Como o carregador, ele extrai o executável de PropertyTagICCProfile. além disso, a configuração permite que ele altere o ID das propriedades da imagem e a string de pesquisa, isso é, no futuro, outros parâmetros de imagem podem ser usados para ocultar malware no Steam.
Por exemplo, o malware verifica se o Teams está instalado verificando a presença de SquirrelTemp SquirrelSetup.log, mas depois disso ninguém acontece com esta informação. Talvez seja necessário verificar os aplicativos instalados no sistema infectado para que possam ser atacados posteriormente.
Os especialistas também descobriram o ChangeHash() toco, e parece que o desenvolvedor de malware está planejando adicionar polimorfismo a versões futuras. O malware também pode enviar solicitações ao Twitter, que no futuro pode ser usado para receber comandos via Twitter, ou o malware pode atuar como um bot do Twitter.
Deixe-me lembrá-lo que Pesquisadores descobriram malware Siloscape direcionado a contêineres do Windows Server e clusters Kubernetes.
