Индустрия
Granger

Хакеры распространяют вирус через изображения на страницах пользователей Steam Статьи редакции

Но большой опасности нет — для исполнения вредоносного кода на компьютере должен быть загрузчик.

Специалисты компании G Data предупредили об уязвимости SteamHide, которую злоумышленники используют для распространения вредоносного ПО через изображения на страницах пользователей в Steam.

  • Первым об уязвимости рассказал исследователь безопасности под ником Miltinhoc в мае 2021 года. Он заметил, что в аватарке одного из пользователей содержится вредоносное ПО.
Just found malware being hosted on a steam profile inside an image! That's the first time I see someting like that @malwrhunterteam https://t.co/HclAQz4nZ9
Нашёл вирус в профиле Steam прямо внутри изображения! Первый раз вижу что-то подобное.
  • В G Data изучили одно из обнаруженных изображений, в котором содержится вирус. Выяснилось, что злоумышленники встроили вредоносную программу в метаданные файла. Специалисты подчеркнули, что этот способ хакерских атак давно известен, но его применение на платформе Steam они заметили впервые.
Изображение с вирусом и его метаданные — всё в порядке, кроме ICC-профиля повышенного размера
  • Злоумышленники встраивают вредоносное ПО вместо ICC-профиля, в котором описываются цветовые атрибуты. Эксперты подчеркнули, что проверки EXIF-данных общедоступными инструментами не показывают никаких других отклонений изображения от нормы.
  • Чтобы стать жертвой этого метода атаки, пользователю необязательно быть зарегистрированным в Steam. Картинка только содержит в себе вирус и не может сама привести его в действие — для этого требуется отдельная вредоносная утилита, загрузчик, который может распространяться тем же методом.
Ещё одно «заражённое» изображение из Steam, найденное экспертами
  • Когда SteamHide проникает в систему жертвы, вирус выполняет проверку на права администратора и пытается повысить свой уровень доступа. После он создаёт запись в реестре и перемещается в системную папку Localappdata.
  • Вирус SteamHide в настоящее время находится в активной разработке, считают в G Data. Они обнаружили, что вредоносное ПО обладает достаточно скудной функциональностью и содержит несколько заглушек, например, для потенциальной отправки запросов в Twitter.
  • Специалисты уверены, что в будущем SteamHide получит более широкое распространение.

Ранее стало известно, что в период с 2018 по 2020 год неизвестные хакеры похитили 26 миллионов учётных записей пользователей — вирус делал скриншоты экрана и фотографии с веб-камер, украв 1,2 ТБ данных.

0
135 комментариев
Написать комментарий...
Гордон Рамзи
Ответить
Развернуть ветку
Кирил Мифодиев

А ведь этому мему уж лет десять наверное...

Ответить
Развернуть ветку
fFamous

А как его звали, кстати? Он живой еще)?

Ответить
Развернуть ветку
11 комментариев
Николай Валентинович
вирус выполняет проверку на права администратора и пытается повысить свой уровень доступа.
Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
5 комментариев
Moho Poloho

Да мне тоже писал что получил доступ к вебке, хотел чтобы я ему скинул биткоин, иначе он разошлет видео всем моим друзьям. К несчастью для него у меня не оказалось трех вещей: биткоина, вебки и друзей.

Ответить
Развернуть ветку
2 комментария
Иван Шлыков

Вложенность уровня Нолана

Ответить
Развернуть ветку
Лесной Денис

Комментарий недоступен

Ответить
Развернуть ветку
Hank Hill

Пикча с вирусом найдена. Не распространяйте.

Ответить
Развернуть ветку
Stanislav Alexandrov

Прочитал, увы, нездох...

Ответить
Развернуть ветку
1 комментарий
Тогдашний корабль

А вдруг и ваши картинки с вирусом

Ответить
Развернуть ветку
Ужасный колос

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Палочка удовольствия

в EGS такой шняги нету 

Ответить
Развернуть ветку
Сергей Латышев

Завтра в новостях: хакеры распространяют вирус через корзину в лаунчерах. Безопасен только ЕГС.

Ответить
Развернуть ветку
Cornelius

EGS других вирусов не терпит!

Ответить
Развернуть ветку
Сдобши Сдуб

Ща отхватишь минусов. Держись !

Ответить
Развернуть ветку
3 комментария
Исходный турник

Зато есть бесплатный Контрол.
Шах и мат, Габен!

Ответить
Развернуть ветку
Трудовой бинокль

О том что мемы заразны я знал, но чтоб прям вот так вот 

Ответить
Развернуть ветку
Andrey Apanasik

Как мне нравятся эти желтушные заголовки (нет). В картинке просто закодированная херня, которая безвредна. Тебе ещё и троян нужно установить, который это дерьмо из неё извлечёт.
Т. е. новость вообще ни о чём, но звучит страшно, конечно.

Ответить
Развернуть ветку
Andrey Apanasik

Вообще, предлагаю дальше пойти:
1. Хакеры распространяют вирус через программы.
2. Хакеры распространяют вирусы через интернет.
3. Хакеры распространяют вирусы через ОС.

Ответить
Развернуть ветку
17 комментариев
Мэтронационалист

это не вирус
распространите игорегалку

Ответить
Развернуть ветку
Эффективный Данила
для этого требуется отдельная вредоносная утилита, которую также обнаружили специалисты.

ок

Ответить
Развернуть ветку
Алексей Кондратов

Да бред вообще. Либо не так все работает на самом деле.
Если для активации нужен exe-шник и он уже попал в систему - то система уже скомпромитирована - зачем ему код вируса из стима или еще откуда, когда он может его уже иметь в себе или загрузить удаленно. 

Ответить
Развернуть ветку
1 комментарий
Участковый хот-дог

Молдавский вирус

Ответить
Развернуть ветку
Алексей Кондратов

Итого: надо, чтобы на компьютере уже стоят как-то "троян", который будет парсить картинки и делать дела. И как бы этой теме уже много лет. А зачесались только сейчас.
Расчет на то, что антивирус может проигнорировать https соединение к такому доверенному сайту как Steam.
При загрузке и даже просмотре такой картинки чем угодно не произойдёт вообще ничего. Программа просмотра увидит некорректное или неизвестное поле и просто пропустит его.
Если кто-то умудрится словить это дело, то для полного счастья он должен быть пользователем Windows с административными привилегиями. Остальные в пролёте.

Ответить
Развернуть ветку
Немыслимый череп

Комментарий недоступен

Ответить
Развернуть ветку
Granger
Автор

Да, именно так и работают загрузчики - https://link.springer.com/chapter/10.1007/978-3-642-37300-8_3

Поэтому никакой паники и нет, само собой. Просто интересно, что такие вирусы в картинках начали распространять в Steam, чего раньше не было. Сам же метод давний.

Ну и кстати, это мы тут все прошаренные. Но и есть такие, кто ловит такие вирусы, иначе бы их не существовало :) 

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Korvin El

Да.

Ответить
Развернуть ветку
1 комментарий
Федор Хлебников

Лучшая машина - машина без колес. Никогда в аварию не попадешь.

Ответить
Развернуть ветку
4 комментария
Hjemløs Gud

Мемы нынче вирусные стали)))

Ответить
Развернуть ветку
Заметный Петя

Возвращаемся во времена интернета без изображений 

Ответить
Развернуть ветку
red pill

продолжаю заклеивать вебку изолентой и хардварно отключать микрофон. а вы говорите — кому ты нужен, параноик:)

Ответить
Развернуть ветку
Kotoyob Siskonovich

А мог бы просто не устанавливать себе вирусы

Ответить
Развернуть ветку
1 комментарий
Алексей Кондратов

а мог бы просто купить PS. )
тфу черт, не просто. (

Ответить
Развернуть ветку
9 комментариев
Z Separatisto

Я вот не питаю иллюзий, что я там кому-то нужен)
Но ты можешь начать активно интересоваться CP, "как сделать бомбу из говна и палок" и "свержение режимов для чайников" и тогда твои контрацепции будут иметь смысл...но только тогда)

Ответить
Развернуть ветку
8 комментариев
Aneugene

У меня где-то осталась фотка человека в метро, который в параноидальных целях заклеил на телефоне ДАТЧИК ПРИБЛИЖЕНИЯ. Вот кто реальный параноик, а не вебку заклеивать

Ответить
Развернуть ветку
Z Separatisto

А на самом деле....кому ты там нужен то?)

Ответить
Развернуть ветку
Покормите котика

Вообще вирусню через картинки раньше передавали, как и любые файлы, немного удивлен что в 2021 это допустимо, я думал это защищается по умолчанию нкак и всякие SQL inject и прочие xss в крупных сервисах

Ответить
Развернуть ветку
JustGuy

В твиттере это вроде не мониторится.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Cornelius

И этого тоже недостаточно. Нужен ещё вирусняк на компе, который бы этот код извлёк и исполнил.

Ответить
Развернуть ветку
4 комментария
MZFKDL

фига, вирус в мемах... надо быть теперь аккуратным

Ответить
Развернуть ветку
Денис Брусницын

А ты думал вирусными их просто так называют? Как бы ни так!

Ответить
Развернуть ветку
Константин Алексеев

Это хитрый ход Гейба по продвижению Линукса, где подобные вирусы не страшны

Ответить
Развернуть ветку
Тэцубин

Тем временем, хакеры:

Ответить
Развернуть ветку
Starik

Это дыра самого Стима, т.к. все передаваемые от пользователя данные должны перепроверяться. А загрузчик картинок должен удалять лишние данные, если вообще не пересохраняет их с пережатием.

Ответить
Развернуть ветку
Zector
вирус делал скриншоты экрана и фотографии с веб-камер

Бляя, теперь у кого-то есть фото, как я с дилдаком играюсь?

Ответить
Развернуть ветку
splinefx

PvP? Кто кого? 

Ответить
Развернуть ветку
ivdos

Просто настолько желтушная херня. А ведь люди не шарящие в этой теме теперь будут боятся картинки открывать в чате стима. Или смотреть аватары пользователей. Такой бред.

Ответить
Развернуть ветку
sadksakldjh

Может и желтушная, но buffer overflow при декодировании картинок известны. https://www.cvedetails.com/cve/CVE-2005-1211/вот пример, он старый, но для иллюстрации проблемы достаточен

Ответить
Развернуть ветку
1 комментарий
Формальный якорь

Ещё один повод поменьше ковыряться в фиде игр Стима. Все равно там мусор по большей части.

Ответить
Развернуть ветку
Z Separatisto

Хорошо, что вебки нет и пароли на листочке храню все)

Ответить
Развернуть ветку
Заметный Петя

Хранить-то ты их можешь где угодно, но вводить тебе их придется все равно на своем компе, где какой-нибудь кейлоггер уже может поджидать тебя.

Ответить
Развернуть ветку
1 комментарий
Shadowlordm

Хорошо что мемы храню в телефоне, тут много порно картинок

Ответить
Развернуть ветку
Kivane

Вирус остаётся в так называемой «спячке» и ждёт своего часа, после того, как попал к жертве?

Ответить
Развернуть ветку
Сдобши Сдуб

Интересно, какая винда у чувака, который нашел вирус. 7-я ? Или вообще XP ?

Ответить
Развернуть ветку
Тэцубин
Чтобы привлечь внимание, они часто «заражают» картинки с мемами.

Чьё внимание пытаются привлечь кулхацкеры и зачем? Может наоборот, чтобы это не выглядело подозрительно, они прячут среди мемсов, которые все любят?

Ответить
Развернуть ветку
Тэцубин

Исправили

Ответить
Развернуть ветку
Weeper Orson

Не сидите под админским аккаунтом, пользуйтесь windows defender'ом и будет вам тишь да гладь да благодать неземная, и дети-нетиктокеры.

Ответить
Развернуть ветку
Xx Yy

Нахуй вирус внедрять в рандомные пикчи, да еще и качать их требутся чтоб что-то да заработало
Объясните этим хакерам что вирусы нужно распространять через анимэ аватарки и тогда и злоумышленники своего добьются и новость на дтф интересная будет 

Ответить
Развернуть ветку
Фан-клуб Кейт Бекинсейл

Ой, хоть бы хакеры твою новость прочитали ,сколько сразу виабушников отсеится. Дтф мгновенно очистится

Ответить
Развернуть ветку
Виктор Ворсин

Это пиздец, товарищи.

Ответить
Развернуть ветку
i came here to chew bubblegum

Видимо решили воспольоваться новой фукнцей подгрузки мемаскиков на странице игры в библиотеке в десктопном формате клиента.

Ответить
Развернуть ветку
Джайро Цеппели

Ну правильно и вы тащите зараженные вирусами картинки на дтф. Спасибо что заботитесь он нас

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Wovk Wovkovich

А что делать тем кто Стимом не пользуется уже? вы о них подумали!?
.

Ответить
Развернуть ветку
Рабочий историк

Дик пики как никогда станут актуальны 

Ответить
Развернуть ветку
The Kumysnique

То есть это, скорее, payload, "полезная нагрузка" какого-то вируса? Такой, допустим, уже проник на ПК жертвы и, чтобы не палиться, скачивает картинки в папку с кэшем Стима, чтобы потом интерпретировать код из их внутренностей.

Ответить
Развернуть ветку
shortcat

Объясняю понятно: стим использован просто как файлохостинг, а не как канал распространения. У жертвы картинка будет качаться на фоне незаметно, а случайно зашедшим на профиль хранителя ничего не грозит.

Ответить
Развернуть ветку
Читать все 135 комментариев
null