SteamHide döljer skadlig programvara i Steam-profilbilder
G Dataanalytiker har upptäckt en ovanlig SteamHide-metod som döljer skadlig kod i metadata för bilder på Steam-profiler.
Feller första gången, konstiga bilder på Steam upptäcktes av cybersäkerhetsforskaren Miltinhoc, som pratade om hans fynd på Twitter i slutet av maj 2021.Forskare vid G Data säger det vid första anblicken, sådana bilder är ofarliga. Standard EXIF-verktyg upptäcker inte något misstänkt i dem, förutom att de varnar för att datalängden i ICC-profilen är felaktig.
dock, i verkligheten, istället för en ICC-profil (som vanligtvis används för att visa färger på externa enheter, till exempel skrivare), sådana bilder innehåller krypterad skadlig kod (inuti PropertyTagICCProfile-värdet).
Övergripande, att dölja skadlig kod i bildmetadata är inte ett nytt fenomen alls, erkänner forskarna. dock, att använda en stor spelplattform som Steam för att vara värd för skadliga bilder komplicerar saker och ting betydligt. Angripare kan när som helst ersätta skadlig kod, lika enkelt som att ändra profilbildfilen.
På samma gång, Steam fungerar bara som ett verktyg för hackare och används för att vara värd för skadlig kod. Hela huvuddelen av arbetet med nedladdning, uppackning, och att utföra en sådan nyttolast görs av en extern komponent som får åtkomst till Steam-profilbilden. Denna nyttolast kan också fördelas på vanligt sätt, i e-post eller via hackade webbplatser.
Experterna betonar att bilderna från Steam-profilerna själva inte är heller “infektiös” inte heller körbar. De är bara ett sätt att bära den faktiska skadliga programvaran, vilket kräver en andra skadlig kod för att extrahera.
Den andra skadliga programvaran hittades av forskare på VirusTotal och den är en nedladdare. Den har ett hårdkodat lösenord “{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ och använder TripleDES för att dekryptera nyttolast från bilder.
På offrets system, SteamHide-skadlig programvara begär först Win32_DiskDrive för VMWare och VBox och avslutas om de finns. Skadlig kod kontrollerar sedan om den har administratörsrättigheter och försöker höja behörigheterna med cmstp.exe.
Vid första lanseringen, den kopierar sig själv till mappen LOCALAPPDATA med namnet och tillägget som anges i konfigurationen. SteamHide fästs på systemet genom att skapa följande nyckel i registret: \Programvara Microsoft Windows CurrentVersion Run BroMal
IP-adressen till hanteringsservern SteamHides lagras på Pastebin, och kan uppdateras via en specifik Steam-profil. Som lastaren, den extraherar den körbara filen från PropertyTagICCProfile. Dessutom, konfigurationen tillåter honom att ändra ID för bildegenskaperna och söksträngen, det är, i framtiden, andra bildparametrar kan användas för att dölja skadlig kod på Steam.
Till exempel, skadlig programvara kontrollerar om Teams är installerat genom att kontrollera om det finns SquirrelTemp SquirrelSetup.log, men efter det händer ingen med den här informationen. Kanske är detta nödvändigt för att kontrollera installerade applikationer på det infekterade systemet så att de kan attackeras senare.
Specialisterna upptäckte också ChangeHash() stump, och det ser ut som malwareutvecklaren planerar att lägga till polymorfism i framtida versioner. Skadlig kod kan också skicka förfrågningar till Twitter, som i framtiden kan användas för att ta emot kommandon via Twitter, eller skadlig kod kan fungera som en Twitter-bot.
Låt mig påminna dig om det Forskare upptäckte skadlig programvara från Siloscape inriktad på Windows Server-behållare och Kubernetes-kluster.