Зловреден софтуер SteelFox
Открит е нов заплашителен пакет, известен като SteelFox. Той е насочен към Windows системи за копаене на криптовалута и събиране на информация за кредитни карти. Злонамереният софтуер използва техника, наречена „донесете свой собствен уязвим драйвер“, за да ескалира привилегиите до ниво СИСТЕМА, което му позволява да заобиколи мерките за сигурност.
Злонамереният софтуер се разпространява предимно чрез форуми и торент сайтове, където се маскира като инструмент за кракване, който активира легитимен софтуер като Foxit PDF Editor, JetBrains и AutoCAD. Използването на уязвими драйвери за ескалация на привилегии е тактика, често свързвана със спонсорирани от държавата участници в заплахи и групи за рансъмуер. Все пак сега изглежда, че е възприет и от кампании за злонамерен софтуер за събиране на информация.
Изследователите за първи път идентифицираха операцията SteelFox през август, но отбелязаха, че зловредният софтуер е активен от февруари 2023 г. Разпространението му се увеличава през последните месеци чрез различни канали, включително торенти, блогове и публикации във форуми.
Съдържание
Инфекция на SteelFox и ескалация на привилегии
Докладите показват, че публикации, популяризиращи злонамерения софтуер SteelFox, често включват подробни инструкции как да активирате незаконно софтуер. Например, една такава публикация предлага стъпка по стъпка насоки как да активирате JetBrains. Докато капкомерът изпълнява рекламираната функция за активиране на софтуера, потребителите по невнимание заразяват системите си със зловреден софтуер в процеса.
Тъй като целевият софтуер обикновено се инсталира в програмните файлове, добавянето на крак изисква достъп на ниво администратор, който зловредният софтуер използва по време на своята атака. Изследователите отбелязват, че процесът на инсталиране изглежда легитимен до момента, в който файловете се разопаковат. На този етап се въвежда небезопасна функция, която след това изпуска кода, отговорен за зареждането на SteelFox в системата.
Използване на уязвими драйвери
След като SteelFox получи административни привилегии, той инсталира услуга, която изпълнява WinRing0.sys, уязвим драйвер, податлив на CVE-2020-14979 и CVE-2021-41285. Тези уязвимости позволяват на злонамерения софтуер да ескалира привилегиите до ниво NT/SYSTEM, предоставяйки му най-високото ниво на достъп до системата – по-мощно от администраторските права. Това ниво на достъп позволява на зловредния софтуер да манипулира свободно всеки системен ресурс или процес.
В допълнение към ескалацията на привилегии, драйверът WinRing0.sys се използва при копаене на криптовалута. Той е част от миньора XMRig , който копае Monero. Нападателят внедрява модифицирана версия на този копач, конфигуриран да се свързва с пул за копаене с твърдо кодирани идентификационни данни.
Злонамереният софтуер също така установява защитена връзка със своя сървър за командване и управление (C2), използвайки SSL фиксиране и TLS v1.3, като гарантира, че комуникациите са криптирани и защитени от прихващане. Освен това той активира компонент за кражба на информация, който събира данни от тринадесет уеб браузъра, системна информация, подробности за мрежата и всички RDP (протокол за отдалечен работен плот) връзки. SteelFox може да събира данни, включително кредитни карти, история на сърфиране и бисквитки.
SteelFox заразява жертви от много страни
Въпреки че домейнът C2, използван от SteelFox, е твърдо кодиран, нападателят го прикрива, като често променя своите IP адреси и ги разрешава чрез Google Public DNS и DNS през HTTPS (DoH). Атаките на SteelFox не са насочени към конкретни лица, но изглежда засягат предимно потребителите на AutoCAD, JetBrains и Foxit PDF Editor. Зловреден софтуер е наблюдаван да компрометира системи в страни като Бразилия, Китай, Русия, Мексико, ОАЕ, Египет, Алжир, Виетнам, Индия и Шри Ланка.
Въпреки че е сравнително нов, SteelFox е цялостен пакет за криминален софтуер. Анализът на злонамерен софтуер предполага, че неговият разработчик е опитен в програмирането на C++ и е включил външни библиотеки, за да създаде високоефективен зловреден софтуер.
