SteamHide 在 Steam 个人资料图片中隐藏恶意软件

G 数据分析师 发现了一种不寻常的 SteamHide 方法 将恶意软件隐藏在 Steam 个人资料图像的元数据中.

F或者第一次, 网络安全研究员 Miltinhoc 在 Steam 上发现了奇怪的图片, 谁谈到了他的发现 推特 五月底 2021.

G Data 的研究人员表示,乍一看, 这样的图片是无害的. 标准 EXIF 工具不会检测到任何可疑内容, 除了他们警告ICC配置文件中的数据长度不正确.

SteamHide 隐藏恶意软件

然而, 事实上, 而不是ICC配置文件 (通常用于在外部设备上显示颜色, 比如打印机), 此类图像包含加密的恶意软件 (在 PropertyTagICCProfile 值中).

全面的, 在图像元数据中隐藏恶意软件根本不是一个新现象, 研究人员承认. 然而, 使用诸如 Steam 之类的大型游戏平台来托管恶意图像会使问题变得非常复杂. 攻击者可以随时更换恶意软件, 就像更改个人资料图片文件一样容易.

同时, Steam 只是作为黑客的工具,用于托管恶意软件. 下载涉及的所有工作, 开箱, 并且执行此类有效负载由访问 Steam 个人资料图像的外部组件完成. 此有效负载也可以以通常的方式分发, 在电子邮件中或通过被黑网站.

专家强调,来自 Steam 个人资料本身的图像既不是 “传染性” 也不可执行. 它们只是携带实际恶意软件的一种手段, 这需要第二个恶意软件来提取.

SteamHide 隐藏恶意软件

第二个恶意软件是由 VirusTotal 的研究人员发现的,它是一个下载器. 它有一个硬编码的密码“{PjD \bzxS#;8@\x.3JT&<4^MsTqE0″ 并使用 TripleDES 从图片中解密有效载荷。

在受害者的系统上, SteamHide 恶意软件首先为 VMWare 和 VBox 请求 Win32_DiskDrive,如果存在则退出. 然后恶意软件会检查它是否具有管理员权限并尝试使用 cmstp.exe 提升权限。

首次发布时, 它使用配置中指定的名称和扩展名将自身复制到 LOCALAPPDATA 文件夹. SteamHide 通过在注册表中创建以下项被固定到系统: \软件MicrosoftWindowsCurrentVersionRunBroMal

管理服务器 SteamHides 的 IP 地址存储在 Pastebin 上, 并且可以通过特定的 Steam 配置文件更新. 像装载机, 它从 PropertyTagICCProfile 中提取可执行文件. 此外, 该配置允许他更改图像属性的 ID 和搜索字符串, 那是, 将来, 其他图像参数可用于隐藏 Steam 上的恶意软件。

虽然 SteamHide 没有任何其他功能,但看起来恶意软件仍在开发中: 我们发现了几个当前未使用的代码段。研究人员报告

例如, 恶意软件通过检查 SquirrelTempSquirrelSetup.log 的存在来检查是否安装了 Teams, 但在那之后就没有人处理这些信息了. 也许这对于检查受感染系统上已安装的应用程序是必要的,以便以后可以攻击它们。

专家们还发现了 ChangeHash() 存根, 看起来恶意软件开发人员正计划在未来版本中添加多态性. 恶意软件还可以向 Twitter 发送请求, 将来可用于通过 Twitter 接收命令, 或者恶意软件可以充当 Twitter 机器人。

让我提醒你 研究人员发现了针对 Windows Server 容器和 Kubernetes 集群的 Siloscape 恶意软件.

赫尔加·史密斯

我一直对计算机科学感兴趣, 特别是数据安全和主题, 现在被称为 "数据科学", 从我十几岁起. 在加入病毒清除团队担任主编之前, 我曾在多家公司担任网络安全专家, 包括亚马逊的一名承包商. 另一种体验: 我在雅顿大学和雷丁大学任教.

发表评论

本网站使用的Akismet,以减少垃圾邮件. 了解您的意见如何处理数据.

返回顶部按钮