SteamHide-malware

SteamHide er en malware opdaget af forskeren @miltinhoc. I øjeblikket mangler denne stærke trussel funktionalitet, men der er tegn på, at den er under aktiv udvikling og snart kan frigøres i naturen. Når det er etableret på det målrettede system, udfører SteamHide først en kontrol af VMWare og VBox ved at forespørge Win32_DiskDrive og afslutter sig selv, hvis det er nødvendigt. Derefter kontrollerer malware for administratorrettigheder og forsøger at eskalere sine privilegier gennem cmstp.exe. En persistensmekanisme oprettes via en registreringsnøgle, der injiceres i \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal- registreringsdatabasen.

Selvom SteamHide ikke er i stand til skadelige handlinger, indeholder det visse kodesegmenter, der kan aktiveres i fremtiden. For eksempel scanner truslen efter Teams-installationer ved at prøve at afgøre, om SquirrelTemp \ SquirrelSetup.log findes på systemet. Denne metode kan muligvis udvides til at scanne efter installerede applikationer, som derefter kan udnyttes. En ejendommelig SteamHide-metode gør det muligt for truslen at sende Twitter-anmodninger, en funktionalitet, der let kan eskaleres og omdannes til en Twitter-bot eller udvides, så truslen kan modtage kommandoer via Twitter.

Roman Distribution Mechanism

SteamHide-navnet beskriver det mest kendetegnende ved malware - det misbruger Steams digitale distributionsplatform til at levere nyttelast og til at opdatere sig selv. Mere specifikt injiceres de usikre nyttelast i metadataene for billeder, der bruges som Steam-profilbilleder. At skjule malware på denne måde er bestemt ikke noget nyt, men det specifikke ved hjælp af en spilplatform som Steam er noget hidtil uset.

Det skal bemærkes, at malware ikke kræver, at Steam installeres på det målrettede system. Spilplatformen bruges kun som lagerplads, der er vært for nyttelastene. Selve billedet er også helt inaktivt og ude af stand til at udføre skadelige handlinger. I stedet delegeres leveringen af truslerne til en ekstern komponent, der får adgang til det våbeniserede Steam-profilbillede og derefter udpakker, pakker ud og udfører den skjulte nyttelast. Den eksterne trussel kunne droppes på de målrettede enheder gennem de sædvanlige distributionskanaler til malware såsom phishing-e-mails, kompromitterede domæner osv.