SteamHide Malware

SteamHide est un malware découvert par le chercheur @miltinhoc. Actuellement, cette puissante menace manque de fonctionnalités, mais il y a des signes qu'elle est en cours de développement et qu'elle pourrait bientôt se déchaîner dans la nature. Une fois établi sur le système ciblé, SteamHide effectue d'abord une vérification pour VMWare et VBox en interrogeant Win32_DiskDrive et se termine si nécessaire. Ensuite, le malware vérifie les droits d'administrateur et essaie d'élever ses privilèges via cmstp.exe. Un mécanisme de persistance est établi via une clé de registre injectée dans le registre \Software\Microsoft\Windows\CurrentVersion\Run\BroMal .

Bien que SteamHide soit incapable d'actions nuisibles, il contient certains segments de code qui pourraient être activés à l'avenir. Par exemple, la menace recherche les installations Teams en essayant de déterminer si SquirrelTemp\SquirrelSetup.log existe sur le système. Cette méthode pourrait éventuellement être étendue pour rechercher les applications installées qui pourraient ensuite être exploitées. Une méthode SteamHide particulière permet à la menace d'envoyer des requêtes Twitter, une fonctionnalité qui pourrait facilement être augmentée et transformée en un bot Twitter ou étendue afin que la menace puisse recevoir des commandes via Twitter.

Nouveau mécanisme de distribution

Le nom SteamHide décrit l'aspect le plus distinctif du malware - il abuse de la plate-forme de distribution numérique Steam pour fournir des charges utiles et se mettre à jour. Plus précisément, les charges utiles dangereuses sont injectées dans les métadonnées des images utilisées comme images de profil Steam. Cacher les logiciels malveillants de cette manière n'est certainement pas quelque chose de nouveau, mais l'utilisation spécifique d'une plate-forme de jeu telle que Steam est quelque chose sans précédent.

Il convient de noter que le malware ne nécessite pas l'installation de Steam sur le système ciblé. La plate-forme de jeu est simplement utilisée comme stockage hébergeant les charges utiles. L'image elle-même est également complètement inactive et incapable d'effectuer des actions nuisibles. Au lieu de cela, la livraison des menaces est déléguée à un composant externe qui accède à l'image de profil Steam militarisée, puis extrait, décompresse et exécute la charge utile cachée. La menace externe pourrait être déposée sur les appareils ciblés via les canaux de distribution de logiciels malveillants habituels tels que les e-mails de phishing, les domaines compromis, etc.