Imagínese esto: Malware se esconde en las imágenes de perfil de Steam

SteamHide abusa de la plataforma de juegos Steam para ofrecer cargas útiles a los descargadores de malware. Los operadores de malware también pueden actualizar las máquinas ya infectadas agregando nuevas imágenes de perfil a Steam. Los desarrolladores parecen tener algunos objetivos más ambiciosos.

Imágenes de suspicious steam profile

El investigador @miltinhoc tuiteó en mayo de 2021 sobre un nuevo malware [1] [2] que usa imágenes de perfil de Steam para ocultarse dentro de ellas.

La imagen de baja calidad (vea la imagen a continuación) muestra tres cuadros del meme «chico blanco parpadeando» junto con las palabras enero, una pantalla negra y septiembre. El contenido de la imagen en sí no parece tener sentido.

Las herramientas EXIF ​​en línea comunes no muestran nada interesante sobre la imagen, excepto una advertencia de que la longitud de los datos del perfil ICC no es válida. Esto se debe a que, en lugar de un perfil ICC, el malware se coloca en forma cifrada dentro del valor PropertyTagICCProfile . El propósito del perfil ICC es mapear colores correctamente para dispositivos de salida como impresoras.

Implicaciones y usuarios afectados

Si bien ocultar malware en los metadatos de un archivo de imagen no es un fenómeno nuevo, el uso de una plataforma de juegos como Steam es algo inaudito. Desde el punto de vista del atacante, este enfoque tiene sentido: reemplazar el malware es tan fácil como simplemente reemplazar un archivo de imagen de perfil. También hay una gran cantidad de cuentas legítimas, y la lista de bloqueo de la plataforma Steam tendría muchos efectos secundarios no deseados.

Cabe señalar que para convertirse en un objetivo de este método, no se requiere la instalación de Steam, ni de ninguna otra plataforma de juego. La plataforma Steam simplemente sirve como un vehículo que aloja el archivo malicioso. El trabajo pesado en forma de descargar, desempaquetar y ejecutar la carga útil maliciosa es manejado por un componente externo que solo accede a la imagen del perfil en un perfil de Steam. Esta carga útil se puede distribuir por los medios habituales, desde correos electrónicos diseñados hasta sitios web comprometidos.

La imagen del perfil de Steam no es infecciosa ni ejecutable.Sirve como portador del malware real [2] . Necesita un segundo malware [1] para ser extraído. Esta segunda muestra de malware [1] es un descargador. Tiene la contraseña codificada » {PjlD \\ bzxS #; 8 @ \\ x.3JT & <4 ^ MsTqE0 » y usa TripleDES para descifrar la carga útil de la imagen.

Encontré muestras más recientes [3] [4] de este malware a través de Virustotal retrohunt. El descargador usa un perfil de Steam diferente pero la misma técnica para ocultar malware en imágenes. A continuación, se muestra el resultado de otra herramienta de extracción EXIF ​​en línea .

Funcionalidad de carga útil

El ejemplo primero consulta Win32_DiskDrive para VMWare y VBox y termina si existe alguno de ellos.

Luego verificará si tiene derechos de administrador e intentará escalar privilegios a través de cmstp.exe

En la primera ejecución, se copia a sí mismo en la carpeta LOCALAPPDATA con el nombre y la extensión especificados en la configuración. En la muestra [2], el nombre del archivo es uNoFGmsEX.txt

SteamHide persiste creando la siguiente clave en el registro: \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal

El mutex se llama Global \ <GUID> donde GUID es el identificador único global para una determinada clase en el malware.

La IP del servidor de comando y control inicial de SteamHides se guarda en una pasta pastebin específica.

El malware puede actualizarse a sí mismo a través de un perfil de Steam determinado. Al igual que el descargador, extraerá el ejecutable de los datos de PropertyTagICCProfile en una imagen del perfil de Steam. La configuración permite cambiar el ID de la propiedad de la imagen y la cadena de búsqueda para encontrar la imagen correcta en Steam. Eso significa que otras propiedades de la imagen podrían usarse en el futuro para ocultar malware en Steam.

 El futuro de SteamHide

SteamHide actualmente carece de funcionalidad y parece estar en desarrollo activo. Hay algunos segmentos de código en el binario que no se utilizan por ahora.

El malware comprueba si Teams está instalado buscando la existencia de SquirrelTemp \ SquirrelSetup.log, pero no se hace nada con esta información. El método se llama EnumerateVulnerable y posiblemente sirve para verificar las aplicaciones instaladas en el sistema infectado, de modo que puedan ser abusadas para exploits.

Hay un código auxiliar de método llamado ChangeHash () , pero aún no está implementado. Parece que el desarrollador de malware planea incluir polimorfismo en versiones futuras.

Tiene un CodePieceManager , que puede compilar código fuente en ensamblajes MSIL. Puede usarse para agregar funcionalidad sobre la marcha o para aplicar metamorfismo.

Además, existe un método que permite enviar solicitudes de Twitter, lo que en el futuro podría permitir que el malware reciba comandos a través de Twitter o actúe como un bot de Twitter.

Además, existe un método que permite enviar solicitudes de Twitter, lo que en el futuro podría permitir que el malware reciba comandos a través de Twitter o actúe como un bot de Twitter.

Estoy seguro de que pronto veremos este malware en estado salvaje tal como sucedió con otras familias en desarrollo que cubrimos, por ejemplo, StrRAT , SectopRAT

Perfil de Steam que contiene imágenes con malware SteamHide

Listado hash

DescripciónNombre del archivoSHA256
[1] Descargador de perfiles de Steam, descargas [2]Ocultar binario dentro de image.exe148914b6c64c51130a42159e4100e6eb670852901418d88c1c0383bf0cd1e339
[2] SteamHide puerta traseraFinalMalware.exeb41868a6a32a7e1167f4e76e2f3cf565b6c0875924f9d809d889eae9cb56a6ae
[3] Descargador de perfiles de Steam, descargas [4]Ocultar binario dentro de image.exe368c97aef6c41b83d06c0ebb1f52679ff96a9aea35499a1caa8c3115cd16880b
[4] SteamHide puerta traseraFinalMalware.exe194c18dc8bc923887ff6b6f2acacd00b54890ca1c52233581c7802fd176dc056

Enlace: https://www.gdatasoftware.com/blog/steamhide-malware-in-profile-images Blog de G DATA