|
Steam 게임 플랫폼에 숨어있는 멀웨어 침해사고분석팀 2021.06.11 |
|
|
연구원들이 게임 플랫폼 Steam의 프로필 이미지 내에 위장하는 새로운 로더 악성 코드 SteamHide를 발견했다.
G Data의 연구에 따르면 Steam 플랫폼은 악성 파일을 호스팅하는 수단으로만 사용된다.
"이미지 파일의 메타 데이터에 멀웨어를 숨기는 것은 새로운 현상이 아니지만 Steam과 같은 게임 플랫폼을 사용하는 것은 이전에 들어 보지 못한 일입니다."라고 G Data 분석가 Karsteen Hahn가 발견을 기반으로한 새로운 공개 보고서에서 SteamHide에 대해 말했다.
[그림1. SteamHide 멀웨어 관련 트윗]
멀웨어 다운로더는 Steam 프로필 이미지의 메타 데이터, 특히 인쇄용 색상 출력을 제어하기 위한 표준화된 데이터 집합인 ICC(International Color Consortium) 프로필에 숨어 있다.
[그림2. 멀웨어 위장에 사용된 밈 샘플]
공격자는 G Data 분석 예제에 사용된 "눈을 깜박이는 백인 남자"와 같은 밈을 포함하여 온라인에서 일반적으로 공유되는 무해한 이미지에 멀웨어를 숨긴다.
해당 프로필 이미지 사기의 피해자는 Steam에 있거나 게임 플랫폼이 설치되어 있지 않아도 공격의 대상이 된다고 G Data의 연구원들이 말한다.
멀웨어를 업데이트하려면 새 프로필 사진만 업로드하면 되는 구조이다.
프로필 이미지 데이터에는 추가 멀웨어를 가져 오는 다운로더만 포함되어 있다고 보고서는 설명한다. 일단 실행되면 악성 코드는 모든 보안 시스템을 종료하고 관리 권한을 확인한 다음 "LOCALAPPDATA" 폴더에 자신을 복사하고 G Data가 "SoftwareMicrosoftWindowsCurrentVersionRunBroMal"으로 식별한 레지스트리에 키를 생성한다.
G Data는 SteamHide 개발자가 현재 사용되지 않지만 나중에 위험할 수 있는 멀웨어 내부에 숨겨진 툴을 가지고 있다고 말한다.
감염된 컴퓨터에 Teams가 설치되어 있는지 확인하고 개발자가 기존 맬웨어의 점점 더 복잡한 반복 작업을 수행하고 있음을 나타내는 "ChangeHash"라는 메서드 스텁을 포함한다.
이 외에 멀웨어가 트위터를 통해 명령을 보내고 받을 수 있는 도구도 있다.
연구원들은 “우리가 다루었던 다른 개발중인 제품군(예:StrRAT 및 SectopRAT)에서 발생한 것처럼 이 악성 코드가 곧 실제 공격에 사용될 것이라고 확신합니다."라고 말한다.
맬웨어가 얼마나 쉽게 제거될 수 있는지 말하기는 어렵다.
Steam의 최신 데이터에 따르면 Counter-Strike:Global Offensive, Dota 2 및 Apex Legends 와 같은 유명한 게임들을 포함하여 2천만 명 이상의 사용자가 게임을 플레이하고 있다.
Steam에 사이버 보안 문제가 발생한 것은 이번이 처음이 아니다.
작년 12월 Steam은 원격 공격자가 다른 플레이어의 게임을 중단하고 타사 서버에 연결된 모든 컴퓨터를 장악할 수있는 중요 버그를 수정해야했다.
출처 https://threatpost.com/steam-gaming-delivering-malware/166784/ |
