SteamСкрыть вредоносное ПО

SteamHide - это вредоносное ПО, обнаруженное исследователем @miltinhoc. В настоящее время этой мощной угрозе не хватает функциональности, но есть признаки того, что она находится в стадии активной разработки и вскоре может быть выпущена на волю. После установки в целевой системе SteamHide сначала выполняет проверку VMWare и VBox, запрашивая Win32_DiskDrive, и при необходимости завершает свою работу. После этого вредоносная программа проверяет права администратора и пытается повысить свои привилегии с помощью cmstp.exe. Механизм сохранения устанавливается с помощью ключа реестра, введенного в реестр \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal .

Хотя SteamHide неспособен к вредоносным действиям, он содержит определенные сегменты кода, которые могут быть активированы в будущем. Например, угроза сканирует установки Teams, пытаясь определить, существует ли в системе файл SquirrelTemp \ SquirrelSetup.log. Этот метод может быть расширен для поиска установленных приложений, которые затем могут быть использованы. Своеобразный метод SteamHide позволяет угрозе отправлять запросы в Twitter. Функциональность, которую можно легко расширить и превратить в бота Twitter или расширить, чтобы угроза могла получать команды через Twitter.

Новый механизм распространения

Название SteamHide описывает наиболее характерный аспект вредоносной программы - она использует платформу цифрового распространения Steam для доставки полезной нагрузки и обновления себя. В частности, небезопасные полезные данные вводятся в метаданные изображений, используемых в качестве изображений профиля Steam. Подобное сокрытие вредоносных программ, безусловно, не является чем-то новым, но использование игровой платформы, такой как Steam, является чем-то беспрецедентным.

Следует отметить, что вредоносная программа не требует установки Steam в целевой системе. Игровая платформа используется просто как хранилище для полезных данных. Само изображение также полностью неактивно и не способно выполнять какие-либо вредоносные действия. Вместо этого доставка угроз делегируется внешнему компоненту, который обращается к изображению профиля Steam, оснащенному оружием, а затем извлекает, распаковывает и выполняет скрытую полезную нагрузку. Внешняя угроза может быть сброшена на целевые устройства через обычные каналы распространения вредоносного ПО, такие как фишинговые электронные письма, взломанные домены и т. Д.