SteamHide прячет малварь в изображениях в профилях Steam - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » SteamHide прячет малварь в изображениях в профилях Steam - «Новости»

Аналитики компании G Data обнаружили вредоноса SteamHide, операторы которого прячут малварь в метаданных изображений в профилях Steam.


Впервые странные картинки в Steam обнаружил ИБ-исследователь Miltinhoc, рассказавший о своей находке в Twitter в конце мая 2021 года.




Исследователи G Data рассказывают, что на первый взгляд такие картинки неопасны. Стандартные EXIF-инструменты ​​не обнаруживают в них ничего подозрительного, разве что предупреждают о том, что длина данных в ICC-профиле некорректна.





Однако на самом деле вместо ICC-профиля (который обычно используется для отображения цветов на внешних устройствах, например принтерах) такие изображения содержат малварь в зашифрованном виде (внутри значения PropertyTagICCProfile).


В целом сокрытие малвари в метаданных изображений, это вовсе неновое явление, признают исследователи. Однако использование крупной игровой платформы, такой как Steam, для размещения вредоносных картинок, существенно усложняет ситуацию. Злоумышленники получают возможность в любой момент заменить вредоносную программу, с такой же легкостью, с которой меняется файл изображения в профиле.


При этом Steam просто служит для хакеров средством и используется для размещения малвари. Вся основная работа, связанная с загрузкой, распаковкой и выполнением такой полезной нагрузки, выполняется внешним компонентом, который обращается к изображению из профиля Steam. Такую полезную нагрузку можно распространять и обычными способами, в электронных письмах или через взломанные сайты.


Эксперты подчеркивают, что сами изображения из профилей Steam не являются ни «заразным», ни исполняемым. Они представляют собой лишь средство для переноса фактической малвари, для извлечения которой нужна вторая вредоносная программа.





Второй вредонос, о котором идет речь, был найден исследователями на VirusTotal, и он представляет собой загрузчик. Он имеет жестко закодированный пароль «{PjlD bzxS #; 8 @ x.3JT & <4 ^ MsTqE0» и использует TripleDES для дешифрования пейлоадов из картинок.


В системе жертвы малварь SteamHide сначала запрашивает Win32_DiskDrive для VMWare и VBox и завершает работу, если они существуют. Затем вредонос проверяет, есть ли у него права администратора, и пытается повысить привилегии с помощью cmstp.exe.


При первом запуске он копирует себя в папку LOCALAPPDATA, используя имя и расширение, указанные в конфигурации. SteamHide закрепляется в системе, создавая в реестре следующий ключ: oftwareMicrosoftWindowsCurrentVersionunBroMal


IP-адрес управляющего сервера SteamHides хранит на Pastebin, а обновляться может через определенный профиль Steam. Как и загрузчик, он извлекает исполняемый файл из PropertyTagICCProfile. Причем конфигурация позволяет ему изменять ID свойства изображения и строку поиска, то есть в будущем для сокрытия малвари в Steam могут использоваться другие параметры изображения.


Пока SteamHide не имеет какой-либо другой функциональности и, похоже, малварь еще находится в разработке: исследователи нашли несколько сегментов кода, которые на данный момент не используются. К примеру, вредонос проверяет, установлен ли Teams, проверяя наличие SquirrelTempquirrelSetup.log, но после с этой информацией никого не происходит. Возможно, это нужно для проверки установленных приложений в зараженной системе, чтобы позже их можно было атаковать.


Также специалисты обнаружили заглушку ChangeHash (), и похоже, что разработчик малвари планирует добавить полиморфизм в будущие версии. Еще малварь умеет отправлять запросы в Twitter, что в будущем может использоваться для получения команд через Twitter, либо вредонос сможет действовать как Twitter-бот.


Аналитики компании G Data обнаружили вредоноса SteamHide, операторы которого прячут малварь в метаданных изображений в профилях Steam. Впервые странные картинки в Steam обнаружил ИБ-исследователь Miltinhoc, рассказавший о своей находке в Twitter в конце мая 2021 года. Just found malware being hosted on a steam profile inside an image! That
CSS
запостил(а)
Vance
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: