SteamHide 恶意软件
SteamHide 是研究人员@miltinhoc 发现的恶意软件。目前,这种强大的威胁缺乏功能,但有迹象表明它正在积极开发中,很快就会在野外释放。一旦建立到目标系统上,SteamHide 首先通过查询 Win32_DiskDrive 来检查 VMWare 和 VBox,并在需要时自行终止。之后,恶意软件会检查管理员权限并尝试通过 cmstp.exe 提升其权限。持久性机制是通过注入\Software\Microsoft\Windows\CurrentVersion\Run\BroMal注册表中的注册表项建立的。
虽然 SteamHide 无法执行有害操作,但它包含某些将来可能会被激活的代码段。例如,威胁通过尝试确定系统上是否存在 SquirrelTemp\SquirrelSetup.log 来扫描 Teams 安装。此方法可能会扩展到扫描可被利用的已安装应用程序。一种特殊的 SteamHide 方法允许威胁发送 Twitter 请求,该功能可以轻松升级并变成 Twitter 机器人或扩展,以便威胁可以通过 Twitter 接收命令。
新颖的分配机制
SteamHide 名称描述了恶意软件最显着的方面——它滥用 Steam 数字分发平台来提供有效载荷并自我更新。更具体地说,不安全的负载被注入到用作 Steam 个人资料图片的图像的元数据中。以这种方式隐藏恶意软件当然不是什么新鲜事,但使用 Steam 等游戏平台的具体做法是前所未有的。
应该注意的是,恶意软件不需要在目标系统上安装 Steam。游戏平台仅用作承载有效载荷的存储。图像本身也完全处于非活动状态,无法执行任何有害操作。相反,威胁的传递委托给外部组件,该组件访问武器化的 Steam 个人资料图片,然后提取、解包和执行隐藏的有效载荷。外部威胁可以通过常见的恶意软件分发渠道(例如网络钓鱼电子邮件、受感染的域等)投放到目标设备上。
