SteamHide 惡意軟件
SteamHide 是研究人員@miltinhoc 發現的惡意軟件。目前,這種強大的威脅缺乏功能,但有跡象表明它正在積極開發中,很快就會在野外釋放。一旦建立到目標系統上,SteamHide 首先通過查詢 Win32_DiskDrive 來檢查 VMWare 和 VBox,並在需要時自行終止。之後,惡意軟件會檢查管理員權限並嘗試通過 cmstp.exe 提升其權限。持久性機制是通過注入\Software\Microsoft\Windows\CurrentVersion\Run\BroMal註冊表中的註冊表項建立的。
雖然 SteamHide 無法執行有害操作,但它包含某些將來可能會被激活的代碼段。例如,威脅通過嘗試確定係統上是否存在 SquirrelTemp\SquirrelSetup.log 來掃描 Teams 安裝。此方法可能會擴展到掃描可被利用的已安裝應用程序。一種特殊的 SteamHide 方法允許威脅發送 Twitter 請求,該功能可以輕鬆升級並變成 Twitter 機器人或擴展,以便威脅可以通過 Twitter 接收命令。
新穎的分配機制
SteamHide 名稱描述了惡意軟件最顯著的方面——它濫用 Steam 數字分發平台來提供有效載荷並自我更新。更具體地說,不安全的負載被注入到用作 Steam 個人資料圖片的圖像的元數據中。以這種方式隱藏惡意軟件當然不是什麼新鮮事,但使用 Steam 等遊戲平台的具體做法是前所未有的。
應該注意的是,惡意軟件不需要在目標系統上安裝 Steam。遊戲平台僅用作承載有效載荷的存儲。圖像本身也完全處於非活動狀態,無法執行任何有害操作。相反,威脅的傳遞委託給外部組件,該組件訪問武器化的 Steam 個人資料圖片,然後提取、解包和執行隱藏的有效載荷。外部威脅可以通過常見的惡意軟件分發渠道(例如網絡釣魚電子郵件、受感染的域等)投放到目標設備上。
