SteamHide nasconde il malware nelle immagini del profilo di Steam
Può un malware nascondersi dietro delle innocue immagini profilo? Secondo G Data si verifica già sulla piattaforma Steam.
Gli analisti di G Data hanno scoperto il malware SteamHide, i cui operatori nascondono malware nei metadati delle immagini nei profili Steam.
Per la prima volta, sono state scoperte strane immagini su Steam dal ricercatore di sicurezza informatica Miltinhoc, che ha parlato della sua scoperta su Twitter alla fine di maggio 2021.
Just found malware being hosted on a steam profile inside an image! That's the first time I see someting like that @malwrhunterteam pic.twitter.com/HclAQz4nZ9
— miltinhoc (@miltinh0c) May 13, 2021
I ricercatori di G Data affermano che a prima vista tali immagini sono innocue. Gli strumenti EXIF standard non rilevano nulla di sospetto in essi, tranne per il fatto che avvertono che la lunghezza dei dati nel profilo ICC non è corretta.
In realtà, invece di un profilo ICC (che di solito viene utilizzato per visualizzare i colori su dispositivi esterni, come le stampanti), tali immagini contengono malware crittografato (all’interno del valore PropertyTagICCProfile).
Leggi anche:
In generale, i ricercatori ammettono che nascondere il malware nei metadati delle immagini non è affatto un fenomeno nuovo. Tuttavia, l’utilizzo di una piattaforma di gioco di grandi dimensioni come Steam per ospitare immagini dannose complica notevolmente le cose. Gli aggressori sono in grado di sostituire il malware in qualsiasi momento, con la stessa facilità con cui modificano un file di immagine del profilo.
Allo stesso tempo, Steam funge semplicemente da strumento per gli hacker e viene utilizzato per ospitare malware. Tutto il grosso del lavoro coinvolto nel download, decompressione ed esecuzione di tale payload viene svolto da un componente esterno che accede all’immagine del profilo di Steam. Questo payload può anche essere distribuito nel modo consueto, in e-mail o siti compromessi.
Gli esperti sottolineano che le immagini dei profili Steam stessi non sono né “infettive” né eseguibili. Sono solo un mezzo per trasportare il malware vero e proprio, che richiede un secondo malware per l’estrazione.
Il secondo malware in questione è stato trovato dai ricercatori di VirusTotal ed è un downloader. Ha una password codificata “{PjlD\\bzx# 8@\\x.3JT&<4 ^MsTqE0“e utilizza TripleDES per decrittografare i payload dalle immagini.
Sul sistema della vittima, il malware SteamHide richiede prima Win32_DiskDrive per VMWare e VBox ed esce se esistono. Il malware verifica quindi se dispone dei diritti di amministratore e tenta di elevare i privilegi utilizzando cmstp.exe.
Al primo avvio, si copia nella cartella LOCALAPPDATA utilizzando il nome e l’estensione specificati nella configurazione. SteamHide viene aggiunto al sistema creando la seguente chiave nel registro: \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal.
L’indirizzo IP del server di gestione SteamHides è memorizzato su Pastebin e può essere aggiornato tramite uno specifico profilo Steam. Come il caricatore, estrae l’eseguibile da PropertyTagICCProfile. Inoltre, la configurazione gli consente di modificare l’ID delle proprietà dell’immagine e la stringa di ricerca, ovvero in futuro altri parametri dell’immagine potranno essere utilizzati per nascondere malware su Steam.
Leggi anche:
Anche se SteamHide non ha altre funzionalità e sembra che il malware sia ancora in fase di sviluppo: i ricercatori hanno trovato diversi segmenti di codice che non vengono attualmente utilizzati. Ad esempio, il malware controlla se Teams è installato controllando SquirrelTemp \ SquirrelSetup.log, ma in seguito a queste informazioni non succede a nessuno. Forse questo è necessario per controllare le applicazioni installate sul sistema infetto in modo che possano essere attaccate in seguito.
Gli specialisti hanno anche scoperto lo stub ChangeHash() e sembra che lo sviluppatore di malware stia pianificando di aggiungere il polimorfismo alle versioni future. Inoltre il malware può anche inviare richieste a Twitter, che in futuro può essere utilizzato per ricevere comandi tramite Twitter, oppure il malware può agire come un bot di Twitter.
Ti potrebbe interessare:
Segui guruhitech su:
- Google News: http://bit.ly/gurugooglenews
- Telegram: https://t.me/guruhitech
- Facebook: https://www.facebook.com/guruhitechfb
- Twitter: https://twitter.com/guruhitech1
- Instagram: https://www.instagram.com/guruhitech_web/
- Gab: https://gab.com/guruhitech
- Parler: https://parler.com/profile/Guruhitech/posts
- MeWe: https://mewe.com/i/guruhitech
- Tillor: https://tillor.com/guruhitech
- Skype: live:.cid.e496a29c3d8dfd2
Esprimi il tuo parere!
Che ne pensi di questa scoperta di G Data? Lascia un commento nell’apposita sezione che trovi più in basso.
Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo guruhitech@libero.it.