البرامج الخبيثة SteelFox
تم اكتشاف حزمة تهديد جديدة تُعرف باسم SteelFox. تستهدف هذه الحزمة أنظمة Windows لاستخراج العملات المشفرة وجمع معلومات بطاقات الائتمان. تستخدم هذه الحزمة الخبيثة تقنية تسمى "إحضار برنامج التشغيل الخاص بك المعرض للخطر" لرفع الامتيازات إلى مستوى النظام، مما يسمح لها بتجاوز تدابير الأمان.
ينتشر البرنامج الخبيث في المقام الأول من خلال المنتديات ومواقع التورنت، حيث يتنكر في هيئة أداة اختراق تعمل على تنشيط برامج شرعية مثل Foxit PDF Editor وJetBrains وAutoCAD. إن استخدام برامج التشغيل الضعيفة لتصعيد الامتيازات هو تكتيك مرتبط عادة بالجهات الفاعلة التي ترعاها الدولة ومجموعات برامج الفدية. ومع ذلك، يبدو الآن أن حملات البرامج الضارة لجمع المعلومات تتبناها أيضًا.
تمكن الباحثون من التعرف على عملية SteelFox لأول مرة في أغسطس، على الرغم من أنهم لاحظوا أن البرنامج الضار كان نشطًا منذ فبراير 2023. وقد تزايد توزيعه في الأشهر الأخيرة من خلال قنوات مختلفة، بما في ذلك التورنت والمدونات ومشاركات المنتديات.
جدول المحتويات
عدوى SteelFox وتصعيد الامتيازات
تشير التقارير إلى أن المنشورات التي تروج لبرنامج SteelFox الذي يقوم بتوزيع البرامج الضارة غالبًا ما تتضمن تعليمات مفصلة حول كيفية تنشيط البرامج بشكل غير قانوني. على سبيل المثال، تقدم إحدى هذه المنشورات إرشادات خطوة بخطوة حول كيفية تنشيط JetBrains. وفي حين يقوم البرنامج بوظيفة تنشيط البرنامج المعلن عنها، فإن المستخدمين يصيبون أنظمتهم عن غير قصد بالبرامج الضارة في هذه العملية.
نظرًا لأن البرنامج المستهدف يتم تثبيته عادةً في ملفات البرنامج، فإن إضافة الكراك يتطلب وصولاً على مستوى المسؤول، وهو ما يستغله البرنامج الخبيث أثناء هجومه. يلاحظ الباحثون أن عملية التثبيت تبدو شرعية حتى النقطة التي يتم فيها فك ضغط الملفات. في هذه المرحلة، يتم تقديم وظيفة غير آمنة، والتي تقوم بعد ذلك بإسقاط الكود المسؤول عن تحميل SteelFox على النظام.
استغلال برامج التشغيل المعرضة للخطر
بمجرد حصول SteelFox على امتيازات إدارية، فإنه يقوم بتثبيت خدمة تقوم بتشغيل WinRing0.sys، وهو برنامج تشغيل ضعيف معرض لخطر CVE-2020-14979 وCVE-2021-41285. تسمح هذه الثغرات الأمنية للبرامج الضارة بتصعيد الامتيازات إلى مستوى NT/SYSTEM، مما يمنحها أعلى مستوى من الوصول إلى النظام - أكثر قوة من حقوق المسؤول. يتيح هذا المستوى من الوصول للبرامج الضارة التلاعب بأي مورد أو عملية للنظام بحرية.
بالإضافة إلى تصعيد الامتيازات، يتم استخدام برنامج التشغيل WinRing0.sys في تعدين العملات المشفرة. وهو جزء من برنامج التعدين XMRig ، الذي يقوم بتعدين Monero. ينشر المهاجم نسخة معدلة من برنامج التعدين هذا، مهيأة للاتصال بمجموعة تعدين باستخدام بيانات اعتماد مبرمجة.
كما يقوم البرنامج الخبيث بإنشاء اتصال آمن مع خادم Command-and-Control (C2) باستخدام SSL pinning وTLS v1.3، مما يضمن تشفير الاتصالات وحمايتها من التنصت. بالإضافة إلى ذلك، يقوم بتنشيط مكون سرقة المعلومات الذي يجمع البيانات من ثلاثة عشر متصفح ويب ومعلومات النظام وتفاصيل الشبكة وأي اتصالات RDP (بروتوكول سطح المكتب البعيد). يمكن لـ SteelFox جمع البيانات، بما في ذلك بطاقات الائتمان وسجل التصفح وملفات تعريف الارتباط.
SteelFox يصيب الضحايا من بلدان عديدة
على الرغم من أن المجال C2 الذي تستخدمه SteelFox مبرمج بشكل ثابت، إلا أن المهاجم يخفيه عن طريق تغيير عناوين IP الخاصة به بشكل متكرر وحلها من خلال Google Public DNS وDNS over HTTPS (DoH). لا تستهدف هجمات SteelFox أفرادًا محددين ولكن يبدو أنها تؤثر بشكل أساسي على مستخدمي AutoCAD وJetBrains وFoxit PDF Editor. وقد لوحظ أن البرامج الضارة تخترق الأنظمة في دول مثل البرازيل والصين وروسيا والمكسيك والإمارات العربية المتحدة ومصر والجزائر وفيتنام والهند وسريلانكا.
على الرغم من كونه جديدًا نسبيًا، فإن SteelFox عبارة عن حزمة برامج إجرامية شاملة. يشير تحليل البرامج الضارة إلى أن مطورها متمكن من برمجة C++ وقد أدرج مكتبات خارجية لإنشاء قطعة برامج ضارة فعالة للغاية.
