Threat Database Malware SteamHide Malware

SteamHide Malware

SteamHide to złośliwe oprogramowanie wykryte przez badacza @miltinhoc. Obecnie temu potężnemu zagrożeniu brakuje funkcjonalności, ale istnieją oznaki, że jest aktywnie rozwijane i wkrótce może zostać uwolnione na wolności. Po ustanowieniu na docelowym systemie SteamHide najpierw sprawdza VMWare i VBox, wysyłając zapytanie do Win32_DiskDrive i w razie potrzeby kończy działanie. Następnie złośliwe oprogramowanie sprawdza uprawnienia administratora i próbuje zwiększyć swoje uprawnienia za pomocą cmstp.exe. Mechanizm trwałości jest ustanawiany za pomocą klucza rejestru wstrzykniętego do rejestru \Software\Microsoft\Windows\CurrentVersion\Run\BroMal .

Chociaż SteamHide jest niezdolny do wykonywania szkodliwych działań, zawiera pewne segmenty kodu, które mogą zostać aktywowane w przyszłości. Na przykład zagrożenie skanuje w poszukiwaniu instalacji aplikacji Teams, próbując określić, czy w systemie istnieje SquirrelTemp\SquirrelSetup.log. Ta metoda może zostać rozszerzona o skanowanie w poszukiwaniu zainstalowanych aplikacji, które można następnie wykorzystać. Specyficzna metoda SteamHide umożliwia zagrożeniu wysyłanie żądań na Twitterze, funkcjonalność, którą można łatwo eskalować i przekształcić w bota Twittera lub rozszerzyć, aby zagrożenie mogło otrzymywać polecenia za pośrednictwem Twittera.

Nowatorski mechanizm dystrybucji

Nazwa SteamHide opisuje najbardziej wyróżniający się aspekt szkodliwego oprogramowania — wykorzystuje platformę dystrybucji cyfrowej Steam do dostarczania ładunków i samoaktualizacji. Mówiąc dokładniej, niebezpieczne ładunki są wstrzykiwane do metadanych obrazów używanych jako zdjęcia profilowe Steam. Ukrywanie złośliwego oprogramowania w ten sposób z pewnością nie jest niczym nowym, ale specyfika korzystania z platformy do gier, takiej jak Steam, jest czymś bezprecedensowym.

Należy zauważyć, że złośliwe oprogramowanie nie wymaga instalacji Steam na docelowym systemie. Platforma do gier służy jedynie do przechowywania ładunków. Sam obraz jest również całkowicie nieaktywny i niezdolny do wykonywania jakichkolwiek szkodliwych działań. Zamiast tego dostarczanie zagrożeń jest delegowane do zewnętrznego komponentu, który uzyskuje dostęp do uzbrojonego zdjęcia profilowego Steam, a następnie wyodrębnia, rozpakowuje i wykonuje ukryty ładunek. Zagrożenie zewnętrzne może zostać zrzucone na docelowe urządzenia za pośrednictwem zwykłych kanałów dystrybucji złośliwego oprogramowania, takich jak wiadomości phishingowe, zhakowane domeny itp.

Popularne

Najczęściej oglądane

Ładowanie...