SteamHide தீம்பொருளை நீராவி சுயவிவரப் படங்களில் மறைக்கிறது
ஜி தரவு ஆய்வாளர்கள் அசாதாரண SteamHide முறையை கண்டுபிடித்துள்ளனர் நீராவி சுயவிவரங்களில் உள்ள படங்களின் மெட்டாடேட்டாவில் தீம்பொருளை மறைக்கிறது.
எஃப்அல்லது முதல் முறை, நீராவியில் உள்ள வித்தியாசமான படங்கள் சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர் Miltinhoc என்பவரால் கண்டுபிடிக்கப்பட்டது, அவர் தனது கண்டுபிடிப்பைப் பற்றி பேசினார் ட்விட்டர் மே மாத இறுதியில் 2021.G Data இன் ஆராய்ச்சியாளர்கள் முதல் பார்வையில் கூறுகின்றனர், அத்தகைய படங்கள் பாதிப்பில்லாதவை. நிலையான EXIF கருவிகள் அவற்றில் சந்தேகத்திற்குரிய எதையும் கண்டறியாது, ஐசிசி சுயவிவரத்தில் தரவு நீளம் தவறானது என்று அவர்கள் எச்சரிப்பதைத் தவிர.
எனினும், உண்மையில், ஐசிசி சுயவிவரத்திற்கு பதிலாக (இது பொதுவாக வெளிப்புற சாதனங்களில் வண்ணங்களைக் காட்டப் பயன்படுகிறது, அச்சுப்பொறிகள் போன்றவை), அத்தகைய படங்களில் மறைகுறியாக்கப்பட்ட தீம்பொருள் உள்ளது (PropertyTagICCPprofile மதிப்பின் உள்ளே).
ஒட்டுமொத்த, பட மெட்டாடேட்டாவில் தீம்பொருளை மறைப்பது ஒரு புதிய நிகழ்வு அல்ல, ஆராய்ச்சியாளர்கள் ஒப்புக்கொள்கிறார்கள். எனினும், தீங்கிழைக்கும் படங்களை ஹோஸ்ட் செய்ய ஸ்டீம் போன்ற பெரிய கேமிங் தளத்தைப் பயன்படுத்துவது விஷயங்களை கணிசமாக சிக்கலாக்குகிறது. தீம்பொருளை எந்த நேரத்திலும் தாக்குபவர்கள் மாற்ற முடியும், சுயவிவரப் படக் கோப்பை மாற்றுவது போல் எளிதாக.
அதே நேரத்தில், நீராவி வெறுமனே ஹேக்கர்களுக்கான ஒரு கருவியாக செயல்படுகிறது மற்றும் தீம்பொருளை ஹோஸ்ட் செய்ய பயன்படுகிறது. மொத்தப் பணிகளும் பதிவிறக்குவதில் ஈடுபட்டுள்ளன, பிரித்தல், மற்றும் அத்தகைய பேலோடை இயக்குவது நீராவி சுயவிவரப் படத்தை அணுகும் வெளிப்புற கூறுகளால் செய்யப்படுகிறது. இந்த பேலோடை வழக்கமான முறையில் விநியோகிக்கவும் முடியும், மின்னஞ்சல்கள் அல்லது ஹேக் செய்யப்பட்ட தளங்கள் மூலம்.
நீராவி சுயவிவரங்களிலிருந்து வரும் படங்கள் இரண்டும் இல்லை என்பதை நிபுணர்கள் வலியுறுத்துகின்றனர் “தொற்று” அல்லது செயல்படுத்த முடியாது. அவை உண்மையான மால்வேரை எடுத்துச் செல்வதற்கான ஒரு வழிமுறை மட்டுமே, பிரித்தெடுக்க இரண்டாவது மால்வேர் தேவைப்படுகிறது.
இரண்டாவது தீம்பொருள் வைரஸ் டோட்டல் ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டது மற்றும் இது ஒரு பதிவிறக்கம் ஆகும். இது கடின குறியிடப்பட்ட கடவுச்சொல்லைக் கொண்டுள்ளது "{PjlD \bzxS#;8@\x.3JT&<4^MsTqE0″ மற்றும் படங்களிலிருந்து பேலோடுகளை மறைகுறியாக்க TripleDES ஐப் பயன்படுத்துகிறது.
பாதிக்கப்பட்டவரின் அமைப்பில், SteamHide தீம்பொருள் முதலில் VMWare மற்றும் VBox க்கான Win32_DiskDrive ஐக் கோருகிறது மற்றும் அவை இருந்தால் வெளியேறும். தீம்பொருள் அதன் நிர்வாகி உரிமைகள் உள்ளதா என்பதைச் சரிபார்த்து, cmstp.exe ஐப் பயன்படுத்தி சிறப்புரிமைகளை உயர்த்த முயற்சிக்கிறது.
முதல் துவக்கத்தில், உள்ளமைவில் குறிப்பிடப்பட்டுள்ள பெயர் மற்றும் நீட்டிப்பைப் பயன்படுத்தி அது தன்னை LOCALAPPDATA கோப்புறைக்கு நகலெடுக்கிறது. பதிவேட்டில் பின்வரும் விசையை உருவாக்குவதன் மூலம் SteamHide கணினியில் பொருத்தப்பட்டுள்ளது: \Software\Microsoft\Windows\CurrentVersion\Run\BroMal
SteamHides என்ற நிர்வாக சேவையகத்தின் IP முகவரி Pastebin இல் சேமிக்கப்பட்டுள்ளது, மற்றும் ஒரு குறிப்பிட்ட நீராவி சுயவிவரம் மூலம் புதுப்பிக்க முடியும். ஏற்றி போல, இது PropertyTagICCPprofile இலிருந்து இயங்கக்கூடியதை பிரித்தெடுக்கிறது. மேலும், உள்ளமைவு பட பண்புகளின் ஐடி மற்றும் தேடல் சரத்தை மாற்ற அனுமதிக்கிறது, அது, எதிர்காலத்தில், மற்ற பட அளவுருக்கள் நீராவியில் தீம்பொருளை மறைக்க பயன்படுத்தலாம்.
உதாரணத்திற்கு, the malware checks if Teams is installed by checking for the presence of SquirrelTemp\SquirrelSetup.log, ஆனால் அதன் பிறகு இந்த தகவல் யாருக்கும் வரவில்லை. பாதிக்கப்பட்ட கணினியில் நிறுவப்பட்ட பயன்பாடுகளைச் சரிபார்க்க இது அவசியமாக இருக்கலாம், இதனால் அவை பின்னர் தாக்கப்படலாம்.
நிபுணர்கள் சேஞ்ச்ஹாஷையும் கண்டுபிடித்தனர்() குட்டை, மேலும் மால்வேர் டெவலப்பர் எதிர்கால பதிப்புகளில் பாலிமார்பிஸத்தை சேர்க்க திட்டமிட்டுள்ளது போல் தெரிகிறது. தீம்பொருள் Twitter க்கு கோரிக்கைகளை அனுப்பலாம், எதிர்காலத்தில் ட்விட்டர் வழியாக கட்டளைகளைப் பெற இது பயன்படுத்தப்படலாம், அல்லது தீம்பொருள் ட்விட்டர் போட்டாக செயல்படலாம்.
அதை உங்களுக்கு நினைவூட்டுகிறேன் விண்டோஸ் சர்வர் கண்டெய்னர்கள் மற்றும் குபெர்னெட்ஸ் கிளஸ்டர்களை குறிவைத்து சிலோஸ்கேப் மால்வேரை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர்.
