SteamHide malware
SteamHide es un malware descubierto por el investigador @miltinhoc. Actualmente, esta poderosa amenaza carece de funcionalidad, pero hay indicios de que está en desarrollo activo y pronto podría desatarse en la naturaleza. Una vez establecido en el sistema de destino, SteamHide primero realiza una verificación de VMWare y VBox consultando Win32_DiskDrive y se cancela automáticamente si es necesario. Posteriormente, el malware comprueba los derechos de administrador e intenta escalar sus privilegios a través de cmstp.exe. Se establece un mecanismo de persistencia a través de una clave de registro inyectada en el registro \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ BroMal .
Aunque SteamHide no puede realizar acciones dañinas, contiene ciertos segmentos de código que podrían activarse en el futuro. Por ejemplo, la amenaza busca instalaciones de Teams al intentar determinar si SquirrelTemp \ SquirrelSetup.log existe en el sistema. Este método posiblemente podría ampliarse para buscar aplicaciones instaladas que luego podrían explotarse. Un método peculiar de SteamHide permite que la amenaza envíe solicitudes de Twitter, una funcionalidad que podría escalarse fácilmente y convertirse en un bot de Twitter o expandirse para que la amenaza pueda recibir comandos a través de Twitter.
Mecanismo de distribución novedoso
El nombre SteamHide describe el aspecto más distintivo del malware: abusa de la plataforma de distribución digital Steam para entregar cargas útiles y actualizarse. Más específicamente, las cargas útiles inseguras se inyectan en los metadatos de las imágenes utilizadas como imágenes de perfil de Steam. Ocultar malware de esta manera ciertamente no es algo nuevo, pero el uso específico de una plataforma de juegos como Steam es algo sin precedentes.
Cabe señalar que el malware no requiere que Steam esté instalado en el sistema de destino. La plataforma de juegos se utiliza simplemente como almacenamiento que aloja las cargas útiles. La imagen en sí también está completamente inactiva e incapaz de realizar acciones dañinas. En cambio, la entrega de las amenazas se delega a un componente externo que accede a la imagen de perfil de Steam armada y luego extrae, desempaqueta y ejecuta la carga útil oculta. La amenaza externa podría caer en los dispositivos objetivo a través de los canales de distribución de malware habituales, como correos electrónicos de phishing, dominios comprometidos, etc.
