SteamHide Malware
SteamHide ist eine Malware, die vom Forscher @miltinhoc entdeckt wurde. Derzeit fehlt dieser mächtigen Bedrohung die Funktionalität, aber es gibt Anzeichen dafür, dass sie sich in aktiver Entwicklung befindet und bald in freier Wildbahn entfesselt werden könnte. Nach der Einrichtung auf dem Zielsystem führt SteamHide zunächst eine Überprüfung auf VMWare und VBox durch, indem es Win32_DiskDrive abfragt und beendet sich bei Bedarf selbst. Anschließend prüft die Malware nach Administratorrechten und versucht, ihre Berechtigungen über cmstp.exe zu erweitern. Ein Persistenzmechanismus wird über einen Registrierungsschlüssel eingerichtet, der in die Registrierung \Software\Microsoft\Windows\CurrentVersion\Run\BroMal eingefügt wird.
Obwohl SteamHide keine schädlichen Aktionen ausführen kann, enthält es bestimmte Codesegmente, die in Zukunft aktiviert werden könnten. Die Bedrohung scannt beispielsweise nach Teams-Installationen, indem versucht wird, festzustellen, ob SquirrelTemp\SquirrelSetup.log auf dem System vorhanden ist. Diese Methode könnte möglicherweise erweitert werden, um nach installierten Anwendungen zu suchen, die dann ausgenutzt werden könnten. Eine besondere SteamHide-Methode ermöglicht es der Bedrohung, Twitter-Anfragen zu senden, eine Funktionalität, die leicht eskaliert und in einen Twitter-Bot umgewandelt oder so erweitert werden könnte, dass die Bedrohung Befehle über Twitter erhält.
Neuartiger Verteilungsmechanismus
Der Name SteamHide beschreibt den charakteristischsten Aspekt der Malware – sie missbraucht die digitale Vertriebsplattform von Steam, um Nutzlasten zu liefern und sich selbst zu aktualisieren. Genauer gesagt werden die unsicheren Payloads in die Metadaten von Bildern eingefügt, die als Steam-Profilbilder verwendet werden. Malware auf diese Weise zu verstecken ist sicherlich nichts Neues, aber die spezifische Nutzung einer Spieleplattform wie Steam ist beispiellos.
Es sollte beachtet werden, dass die Malware keine Installation von Steam auf dem Zielsystem erfordert. Die Spieleplattform wird lediglich als Speicher für die Nutzlasten verwendet. Das Bild selbst ist ebenfalls völlig inaktiv und kann keine schädlichen Aktionen ausführen. Stattdessen wird die Übermittlung der Bedrohungen an eine externe Komponente delegiert, die auf das bewaffnete Steam-Profilbild zugreift und dann die versteckte Nutzlast extrahiert, entpackt und ausführt. Die externe Bedrohung könnte über die üblichen Malware-Verteilungskanäle wie Phishing-E-Mails, kompromittierte Domänen usw. auf die Zielgeräte übertragen werden.
