SteamHide Malware

SteamHide is een malware die is ontdekt door de onderzoeker @miltinhoc. Momenteel heeft deze krachtige dreiging geen functionaliteit, maar er zijn tekenen dat deze in actieve ontwikkeling is en binnenkort in het wild kan worden losgelaten. Eenmaal geïnstalleerd op het beoogde systeem, voert SteamHide eerst een controle uit op VMWare en VBox door Win32_DiskDrive op te vragen en beëindigt het zichzelf indien nodig. Daarna controleert de malware op beheerdersrechten en probeert de privileges te escaleren via cmstp.exe. Een persistentiemechanisme wordt tot stand gebracht via een registersleutel die wordt geïnjecteerd in het \Software\Microsoft\Windows\CurrentVersion\Run\BroMal- register.

Hoewel SteamHide niet in staat is tot schadelijke acties, bevat het bepaalde codesegmenten die in de toekomst kunnen worden geactiveerd. De dreiging scant bijvoorbeeld op Teams-installaties door te proberen te bepalen of SquirrelTemp\SquirrelSetup.log op het systeem aanwezig is. Deze methode kan mogelijk worden uitgebreid om te scannen op geïnstalleerde applicaties die vervolgens kunnen worden misbruikt. Met een eigenaardige SteamHide-methode kan de dreiging Twitter-verzoeken verzenden, een functionaliteit die gemakkelijk kan worden geëscaleerd en omgezet in een Twitter-bot of kan worden uitgebreid, zodat de dreiging opdrachten via Twitter kan ontvangen.

Nieuw distributiemechanisme

De naam SteamHide beschrijft het meest onderscheidende aspect van de malware: het misbruikt het digitale distributieplatform van Steam om payloads te leveren en zichzelf bij te werken. Meer specifiek worden de onveilige payloads geïnjecteerd in de metadata van afbeeldingen die worden gebruikt als Steam-profielfoto's. Het op deze manier verbergen van malware is zeker niet nieuw, maar het specifieke gebruik van een gamingplatform zoals Steam is ongekend.

Opgemerkt moet worden dat de malware niet vereist dat Steam op het doelsysteem is geïnstalleerd. Het gamingplatform wordt alleen gebruikt als opslag voor de payloads. De afbeelding zelf is ook volledig inactief en kan geen schadelijke acties uitvoeren. In plaats daarvan wordt de levering van de bedreigingen gedelegeerd aan een externe component die toegang heeft tot de bewapende Steam-profielfoto en vervolgens de verborgen lading uitpakt, uitpakt en uitvoert. De externe dreiging kan op de beoogde apparaten worden gedropt via de gebruikelijke distributiekanalen voor malware, zoals phishing-e-mails, gecompromitteerde domeinen, enz.