SteamHide 在 Steam 個人資料圖片中隱藏惡意軟件

G 數據分析師 發現了一種不尋常的 SteamHide 方法 將惡意軟件隱藏在 Steam 個人資料圖像的元數據中.

G Data 的研究人員表示，乍一看, 這樣的圖片是無害的. 標準 EXIF 工具不會檢測到任何可疑內容, 除了他們警告ICC配置文件中的數據長度不正確.

然而, 事實上, 而不是ICC配置文件 (通常用於在外部設備上顯示顏色, 比如打印機), 此類圖像包含加密的惡意軟件 (在 PropertyTagICCProfile 值中).

全面的, 在圖像元數據中隱藏惡意軟件根本不是一個新現象, 研究人員承認. 然而, 使用諸如 Steam 之類的大型遊戲平台來託管惡意圖像會使問題變得非常複雜. 攻擊者可以隨時更換惡意軟件, 就像更改個人資料圖片文件一樣容易.

同時, Steam 只是作為黑客的工具，用於託管惡意軟件. 下載所涉及的所有工作, 開箱, 並且執行此類有效負載由訪問 Steam 個人資料圖像的外部組件完成. 此有效負載也可以以通常的方式分發, 在電子郵件中或通過被黑網站.

專家強調，來自 Steam 個人資料本身的圖像既不是 “傳染性” 也不可執行. 它們只是攜帶實際惡意軟件的一種手段, 這需要第二個惡意軟件來提取.

第二個惡意軟件是由 VirusTotal 的研究人員發現的，它是一個下載器. 它有一個硬編碼的密碼“{PjD \bzxS#;8@\x.3JT&<4^MsTqE0″ 並使用 TripleDES 從圖片中解密有效載荷。

在受害者的系統上, SteamHide 惡意軟件首先為 VMWare 和 VBox 請求 Win32_DiskDrive，如果存在則退出. 然後惡意軟件會檢查它是否具有管理員權限並嘗試使用 cmstp.exe 提升權限。

首次發佈時, 它使用配置中指定的名稱和擴展名將自身複製到 LOCALAPPDATA 文件夾. SteamHide 通過在註冊表中創建以下項被固定到系統: \軟件MicrosoftWindowsCurrentVersionRunBroMal

管理服務器 SteamHides 的 IP 地址存儲在 Pastebin 上, 並且可以通過特定的 Steam 配置文件更新. 像裝載機, 它從 PropertyTagICCProfile 中提取可執行文件. 此外, 配置允許他更改圖像屬性的 ID 和搜索字符串, 那是, 將來, 其他圖像參數可用於隱藏 Steam 上的惡意軟件。

例如, 惡意軟件通過檢查 SquirrelTempSquirrelSetup.log 的存在來檢查是否安裝了 Teams, 但在那之後就沒有人處理這些信息了. 也許這對於檢查受感染系統上已安裝的應用程序是必要的，以便以後可以攻擊它們。

專家們還發現了 ChangeHash() 存根, 看起來惡意軟件開發人員正計劃在未來版本中添加多態性. 惡意軟件還可以向 Twitter 發送請求, 將來可用於通過 Twitter 接收命令, 或者惡意軟件可以充當 Twitter 機器人。

讓我提醒你 研究人員發現了針對 Windows Server 容器和 Kubernetes 集群的 Siloscape 惡意軟件.