SteamHide 맬웨어

SteamHide는 @miltinhoc 연구원이 발견 한 악성 코드입니다. 현재이 강력한 위협은 기능이 부족하지만 현재 개발 중이며 곧 야생에서 공개 될 수 있다는 징후가 있습니다. 대상 시스템에 설치되면 SteamHide는 먼저 Win32_DiskDrive를 쿼리하여 VMWare 및 VBox를 확인하고 필요한 경우 자동으로 종료됩니다. 이후 악성 코드는 관리자 권한을 확인하고 cmstp.exe를 통해 권한 상승을 시도합니다. 지속성 메커니즘은 \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal 레지스트리에 삽입 된 레지스트리 키를 통해 설정됩니다.

SteamHide는 유해한 작업을 수행 할 수 없지만 향후 활성화 될 수있는 특정 코드 세그먼트를 포함합니다. 예를 들어 위협 요소는 시스템에 SquirrelTemp \ SquirrelSetup.log가 있는지 확인하여 Teams 설치를 검색합니다. 이 방법은 악용 될 수있는 설치된 응용 프로그램을 검색하도록 확장 될 수 있습니다. 특이한 SteamHide 방법을 사용하면 위협이 Twitter 요청을 보낼 수 있습니다.이 기능은 쉽게 에스컬레이션되어 Twitter 봇으로 전환되거나 확장되어 위협이 Twitter를 통해 명령을받을 수 있습니다.

새로운 배포 메커니즘

SteamHide 이름은 맬웨어의 가장 두드러진 측면을 설명합니다. Steam 디지털 배포 플랫폼을 악용하여 페이로드를 제공하고 자체적으로 업데이트합니다. 보다 구체적으로, 안전하지 않은 페이로드는 Steam 프로필 사진으로 사용되는 이미지의 메타 데이터에 삽입됩니다. 이러한 방식으로 맬웨어를 숨기는 것은 확실히 새로운 것은 아니지만 Steam과 같은 게임 플랫폼을 사용하는 구체적인 것은 전례없는 일입니다.

맬웨어는 대상 시스템에 Steam을 설치할 필요가 없습니다. 게임 플랫폼은 페이로드를 호스팅하는 스토리지로만 사용됩니다. 이미지 자체도 완전히 비활성화되어 유해한 작업을 수행 할 수 없습니다. 대신, 위협 전달은 무기화 된 Steam 프로필 사진에 액세스 한 다음 숨겨진 페이로드를 추출, 압축 해제 및 실행하는 외부 구성 요소에 위임됩니다. 외부 위협은 피싱 이메일, 손상된 도메인 등과 같은 일반적인 맬웨어 배포 채널을 통해 대상 장치로 떨어질 수 있습니다.