SteamHide malware

SteamHide è un malware scoperto dal ricercatore @miltinhoc. Attualmente, questa potente minaccia manca di funzionalità, ma ci sono segni che sia in fase di sviluppo attivo e potrebbe presto essere scatenata in natura. Una volta stabilito nel sistema di destinazione, SteamHide esegue prima un controllo per VMWare e VBox interrogando Win32_DiskDrive e si chiude se necessario. Successivamente, il malware verifica i diritti di amministratore e tenta di aumentare i propri privilegi tramite cmstp.exe. Un meccanismo di persistenza viene stabilito tramite una chiave di registro inserita nel registro \Software\Microsoft\Windows\CurrentVersion\Run\BroMal.

Sebbene SteamHide non sia in grado di compiere azioni dannose, contiene alcuni segmenti di codice che potrebbero essere attivati in futuro. Ad esempio, la minaccia esegue la scansione delle installazioni di Teams cercando di determinare se SquirrelTemp\SquirrelSetup.log esiste nel sistema. Questo metodo potrebbe essere ampliato per cercare applicazioni installate che potrebbero poi essere sfruttate. Un peculiare metodo SteamHide consente alla minaccia di inviare richieste Twitter, una funzionalità che potrebbe essere facilmente escalation e trasformata in un bot Twitter o espansa in modo che la minaccia possa ricevere comandi tramite Twitter.

Nuovo meccanismo di distribuzione

Il nome SteamHide descrive l'aspetto più distintivo del malware: abusa della piattaforma di distribuzione digitale Steam per fornire payload e per aggiornarsi. Più specificamente, i payload non sicuri vengono iniettati nei metadati delle immagini utilizzate come immagini del profilo di Steam. Nascondere malware in questo modo non è certamente qualcosa di nuovo, ma l'uso specifico di una piattaforma di gioco come Steam è qualcosa di senza precedenti.

Va notato che il malware non richiede l'installazione di Steam sul sistema di destinazione. La piattaforma di gioco viene semplicemente utilizzata come storage che ospita i payload. Anche l'immagine stessa è completamente inattiva e incapace di compiere azioni dannose. Invece, la consegna delle minacce è delegata a un componente esterno che accede all'immagine del profilo di Steam armata e quindi estrae, decomprime ed esegue il payload nascosto. La minaccia esterna potrebbe essere rilasciata sui dispositivi mirati attraverso i consueti canali di distribuzione di malware come e-mail di phishing, domini compromessi, ecc.