Threat Database Malware SteamHide マルウェア

SteamHide マルウェア

SteamHide は、研究者 @miltinhoc によって発見されたマルウェアです。現在、この強力な脅威には機能がありませんが、活発な開発が行われており、まもなく公開される可能性がある兆候があります。ターゲット システムに確立されると、SteamHide はまず Win32_DiskDrive にクエリを実行して VMWare と VBox のチェックを実行し、必要に応じて自身を終了します。その後、マルウェアは管理者権限をチェックし、cmstp.exe を介して権限を昇格させようとします。永続化メカニズムは、\Software\Microsoft\Windows\CurrentVersion\Run\BroMalレジストリに挿入されたレジストリ キーを介して確立されます。

SteamHide は有害なアクションを実行できませんが、将来的にアクティブ化される可能性のある特定のコード セグメントが含まれています。たとえば、この脅威は、システムに SquirrelTemp\SquirrelSetup.log が存在するかどうかを判断して、Teams のインストールをスキャンします。この方法は、悪用される可能性のあるインストール済みアプリケーションをスキャンするように拡張される可能性があります。特殊な SteamHide メソッドにより、この脅威は Twitter リクエストを送信できます。この機能は、簡単にエスカレートして Twitter ボットに変換したり、拡張して、脅威が Twitter 経由でコマンドを受信できるようにすることができます。

新規流通メカニズム

SteamHide の名前は、マルウェアの最も特徴的な側面を表しています。これは、Steam デジタル配信プラットフォームを悪用してペイロードを配信し、それ自体を更新します。具体的には、安全でないペイロードは、Steam プロファイル画像として使用される画像のメタデータに挿入されます。この方法でマルウェアを隠すことは確かに新しいことではありませんが、Steam などのゲーム プラットフォームを使用することは前例のないことです。

このマルウェアは、対象のシステムに Steam をインストールする必要がないことに注意してください。ゲーム プラットフォームは、ペイロードをホストするストレージとしてのみ使用されます。画像自体も完全に非アクティブであり、有害なアクションを実行することはできません。代わりに、脅威の配信は、武器化された Steam プロファイル画像にアクセスし、隠されたペイロードを抽出、解凍、実行する外部コンポーネントに委任されます。外部の脅威は、フィッシング メールや侵害されたドメインなどの通常のマルウェア配布チャネルを介して、標的のデバイスにドロップされる可能性があります。

トレンド

最も見られました

読み込んでいます...