Хакеры распространяют вирус через изображения на страницах пользователей Steam

Но большой опасности нет — для исполнения вредоносного кода на компьютере должен быть загрузчик.

Хакеры распространяют вирус через изображения на страницах пользователей Steam

Специалисты компании G Data предупредили об уязвимости SteamHide, которую злоумышленники используют для распространения вредоносного ПО через изображения на страницах пользователей в Steam.

  • Первым об уязвимости рассказал исследователь безопасности под ником Miltinhoc в мае 2021 года. Он заметил, что в аватарке одного из пользователей содержится вредоносное ПО.
Just found malware being hosted on a steam profile inside an image! That's the first time I see someting like that @malwrhunterteam https://t.co/HclAQz4nZ9
Нашёл вирус в профиле Steam прямо внутри изображения! Первый раз вижу что-то подобное.
  • В G Data изучили одно из обнаруженных изображений, в котором содержится вирус. Выяснилось, что злоумышленники встроили вредоносную программу в метаданные файла. Специалисты подчеркнули, что этот способ хакерских атак давно известен, но его применение на платформе Steam они заметили впервые.
Изображение с вирусом и его метаданные — всё в порядке, кроме ICC-профиля повышенного размера
Изображение с вирусом и его метаданные — всё в порядке, кроме ICC-профиля повышенного размера
  • Злоумышленники встраивают вредоносное ПО вместо ICC-профиля, в котором описываются цветовые атрибуты. Эксперты подчеркнули, что проверки EXIF-данных общедоступными инструментами не показывают никаких других отклонений изображения от нормы.
  • Чтобы стать жертвой этого метода атаки, пользователю необязательно быть зарегистрированным в Steam. Картинка только содержит в себе вирус и не может сама привести его в действие — для этого требуется отдельная вредоносная утилита, загрузчик, который может распространяться тем же методом.
Ещё одно «заражённое» изображение из Steam, найденное экспертами
Ещё одно «заражённое» изображение из Steam, найденное экспертами
  • Когда SteamHide проникает в систему жертвы, вирус выполняет проверку на права администратора и пытается повысить свой уровень доступа. После он создаёт запись в реестре и перемещается в системную папку Localappdata.
  • Вирус SteamHide в настоящее время находится в активной разработке, считают в G Data. Они обнаружили, что вредоносное ПО обладает достаточно скудной функциональностью и содержит несколько заглушек, например, для потенциальной отправки запросов в Twitter.
  • Специалисты уверены, что в будущем SteamHide получит более широкое распространение.

Ранее стало известно, что в период с 2018 по 2020 год неизвестные хакеры похитили 26 миллионов учётных записей пользователей — вирус делал скриншоты экрана и фотографии с веб-камер, украв 1,2 ТБ данных.

194194
135 комментариев

Комментарий недоступен

129

Комментарий недоступен

27

А как его звали, кстати? Он живой еще)?

3

вирус выполняет проверку на права администратора и пытается повысить свой уровень доступа.

74

Комментарий недоступен

69

Да мне тоже писал что получил доступ к вебке, хотел чтобы я ему скинул биткоин, иначе он разошлет видео всем моим друзьям. К несчастью для него у меня не оказалось трех вещей: биткоина, вебки и друзей.

74

Вложенность уровня Нолана

1