SteamHide skadlig programvara

SteamHide skadlig programvara Beskrivning

SteamHide är en skadlig kod upptäckt av forskaren @miltinhoc. För närvarande saknar detta kraftfulla hot funktionalitet men det finns tecken på att det är under aktiv utveckling och snart kan släppas ut i naturen. När det väl är etablerat på det riktade systemet utför SteamHide först en kontroll av VMWare och VBox genom att fråga Win32_DiskDrive och avslutar sig vid behov. Därefter söker skadlig programvara efter administratörsrättigheter och försöker öka sina behörigheter genom cmstp.exe. En uthållighetsmekanism upprättas via en registernyckel som injiceras i registret \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal .

Även om SteamHide inte är kapabelt för skadliga åtgärder, innehåller det vissa kodsegment som kan aktiveras i framtiden. Till exempel söker hotet efter Teams-installationer genom att försöka avgöra om SquirrelTemp \ SquirrelSetup.log finns på systemet. Denna metod kan eventuellt utökas för att söka efter installerade applikationer som sedan kan utnyttjas. En märklig SteamHide-metod gör att hotet kan skicka Twitter-förfrågningar, en funktion som lätt kan eskaleras och förvandlas till en Twitter-bot eller utökas så att hotet kan ta emot kommandon via Twitter.

Novel Distribution Mechanism

SteamHide-namnet beskriver den mest utmärkande aspekten av skadlig programvara - den missbrukar Steams digitala distributionsplattform för att leverera nyttolast och för att uppdatera sig själv. Mer specifikt injiceras de osäkra nyttolasten i metadata för bilder som används som Steam-profilbilder. Att dölja skadlig kod på detta sätt är verkligen inte något nytt, men det specifika med en spelplattform som Steam är något utan motstycke.

Det bör noteras att skadlig programvara inte kräver att Steam installeras på det riktade systemet. Spelplattformen används bara som lagring som är värd för nyttolasten. Bilden i sig är också helt inaktiv och oförmögen att utföra skadliga åtgärder. Istället delegeras leveransen av hoten till en extern komponent som får åtkomst till den vapeniserade Steam-profilbilden och sedan extraherar, packar upp och kör den dolda nyttolasten. Det externa hotet kan släppas på de riktade enheterna via de vanliga distributionskanalerna för skadlig programvara som nätfiske-e-post, komprometterade domäner etc.

Lämna ett svar

Please DO NOT use this comment system for support or billing questions. För förfrågningar om teknisk support från SpyHunter, vänligen kontakta vårt tekniska supportteam direkt genom att öppna en kundsupportbiljett via din SpyHunter. För faktureringsproblem, se sidan " Faktureringsfrågor eller problem?". För allmänna frågor (klagomål, juridisk, press, marknadsföring, upphovsrätt), besök vår sida " Förfrågningar och feedback".


HTML är inte tillåtet.