SteelFox Malware

SteelFox নামে পরিচিত একটি নতুন হুমকি প্যাকেজ আবিষ্কৃত হয়েছে। এটি উইন্ডোজ সিস্টেমকে লক্ষ্য করে ক্রিপ্টোকারেন্সি খনি এবং ক্রেডিট কার্ডের তথ্য সংগ্রহ করে। ম্যালওয়্যারটি 'আপনার নিজস্ব দুর্বল ড্রাইভার আনুন' নামক একটি কৌশল ব্যবহার করে সুবিধাগুলিকে সিস্টেম স্তরে বাড়ানোর জন্য, এটি সুরক্ষা ব্যবস্থাগুলিকে বাইপাস করার অনুমতি দেয়৷

ম্যালওয়্যারটি প্রাথমিকভাবে ফোরাম এবং টরেন্ট সাইটগুলির মাধ্যমে ছড়িয়ে পড়ে, যেখানে এটি একটি ক্র্যাক টুল হিসাবে মাস্করাড করে যা ফক্সিট পিডিএফ এডিটর, জেটব্রেন এবং অটোক্যাডের মতো বৈধ সফ্টওয়্যার সক্রিয় করে৷ বিশেষাধিকার বৃদ্ধির জন্য দুর্বল ড্রাইভারের ব্যবহার একটি কৌশল যা সাধারণত রাষ্ট্র-স্পন্সর করা হুমকি অভিনেতা এবং র্যানসমওয়্যার গ্রুপগুলির সাথে যুক্ত। তবুও, এটি এখন তথ্য-সংগ্রহকারী ম্যালওয়্যার প্রচারাভিযানের দ্বারা গৃহীত হয়েছে বলে মনে হচ্ছে।

গবেষকরা আগস্ট মাসে SteelFox অপারেশনটি প্রথম শনাক্ত করেন, যদিও তারা উল্লেখ করেছেন যে ম্যালওয়্যারটি ফেব্রুয়ারি 2023 সাল থেকে সক্রিয় রয়েছে। সাম্প্রতিক মাসগুলিতে টরেন্ট, ব্লগ এবং ফোরাম পোস্ট সহ বিভিন্ন চ্যানেলের মাধ্যমে এর বিতরণ বৃদ্ধি পাচ্ছে।

স্টিলফক্স সংক্রমণ এবং বিশেষাধিকার বৃদ্ধি

প্রতিবেদনগুলি ইঙ্গিত করে যে SteelFox ম্যালওয়্যার ড্রপারের প্রচারকারী পোস্টগুলিতে প্রায়শই কীভাবে অবৈধভাবে সফ্টওয়্যার সক্রিয় করতে হয় তার বিস্তারিত নির্দেশাবলী অন্তর্ভুক্ত থাকে। উদাহরণস্বরূপ, এই ধরনের একটি পোস্ট জেটব্রেইনকে কীভাবে সক্রিয় করতে হয় সে সম্পর্কে ধাপে ধাপে নির্দেশনা প্রদান করে। যদিও ড্রপার সফ্টওয়্যার সক্রিয় করার বিজ্ঞাপনী ফাংশন সম্পাদন করে, ব্যবহারকারীরা অসাবধানতাবশত তাদের সিস্টেমগুলিকে ম্যালওয়্যার দ্বারা সংক্রমিত করে৷

যেহেতু লক্ষ্যযুক্ত সফ্টওয়্যারটি সাধারণত প্রোগ্রাম ফাইলগুলিতে ইনস্টল করা থাকে, তাই ক্র্যাক যোগ করার জন্য প্রশাসক-স্তরের অ্যাক্সেস প্রয়োজন, যা ম্যালওয়্যার আক্রমণের সময় ব্যবহার করে। গবেষকরা নোট করেন যে ফাইলগুলি আনপ্যাক করা না হওয়া পর্যন্ত ইনস্টলেশন প্রক্রিয়া বৈধ বলে মনে হয়। সেই পর্যায়ে, একটি অনিরাপদ ফাংশন চালু করা হয়, যা তারপর সিস্টেমে SteelFox লোড করার জন্য দায়ী কোডটি ফেলে দেয়।

দুর্বল ড্রাইভারদের শোষণ করা

SteelFox একবার প্রশাসনিক সুযোগ-সুবিধা লাভ করলে, এটি একটি পরিষেবা ইনস্টল করে যা WinRing0.sys চালায়, একটি দুর্বল ড্রাইভার যা CVE-2020-14979 এবং CVE-2021-41285-এর জন্য সংবেদনশীল। এই দুর্বলতাগুলি ম্যালওয়্যারকে NT/SYSTEM স্তরে বিশেষাধিকারগুলি বৃদ্ধি করার অনুমতি দেয়, এটিকে সিস্টেমে সর্বোচ্চ স্তরের অ্যাক্সেস প্রদান করে — প্রশাসকের অধিকারের চেয়ে বেশি শক্তিশালী৷ এই স্তরের অ্যাক্সেস ম্যালওয়্যারকে যেকোনো সিস্টেম রিসোর্স বা প্রক্রিয়াকে অবাধে ম্যানিপুলেট করতে সক্ষম করে।

বিশেষাধিকার বৃদ্ধি ছাড়াও, WinRing0.sys ড্রাইভারটি ক্রিপ্টোকারেন্সি মাইনিংয়ে ব্যবহৃত হয়। এটি XMRig খনির অংশ, যা Monero খনি। আক্রমণকারী এই খনির একটি পরিবর্তিত সংস্করণ স্থাপন করে, যা হার্ডকোডেড শংসাপত্র সহ একটি মাইনিং পুলের সাথে সংযোগ করতে কনফিগার করা হয়েছে৷

ম্যালওয়্যারটি তার কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে SSL পিনিং এবং TLS v1.3 ব্যবহার করে একটি নিরাপদ সংযোগ স্থাপন করে, নিশ্চিত করে যে যোগাযোগগুলি এনক্রিপ্ট করা হয়েছে এবং বাধা থেকে রক্ষা করা হয়েছে। উপরন্তু, এটি একটি তথ্য চুরিকারী উপাদান সক্রিয় করে যা তেরোটি ওয়েব ব্রাউজার, সিস্টেম তথ্য, নেটওয়ার্ক বিশদ এবং যেকোনো RDP (রিমোট ডেস্কটপ প্রোটোকল) সংযোগ থেকে ডেটা সংগ্রহ করে। SteelFox ক্রেডিট কার্ড, ব্রাউজিং ইতিহাস এবং কুকি সহ ডেটা সংগ্রহ করতে পারে।

স্টিলফক্স অনেক দেশ থেকে ভিকটিমদের সংক্রামিত করে

যদিও SteelFox দ্বারা ব্যবহৃত C2 ডোমেনটি হার্ডকোড করা হয়েছে, আক্রমণকারী এটিকে ঘন ঘন আইপি ঠিকানা পরিবর্তন করে এবং HTTPS (DoH) এর মাধ্যমে Google পাবলিক DNS এবং DNS এর মাধ্যমে সমাধান করে। SteelFox আক্রমণগুলি নির্দিষ্ট ব্যক্তিদের লক্ষ্য করে না কিন্তু প্রাথমিকভাবে AutoCAD, JetBrains এবং Foxit PDF Editor এর ব্যবহারকারীদের প্রভাবিত করে বলে মনে হয়। ম্যালওয়্যারটি ব্রাজিল, চীন, রাশিয়া, মেক্সিকো, সংযুক্ত আরব আমিরাত, মিশর, আলজেরিয়া, ভিয়েতনাম, ভারত এবং শ্রীলঙ্কার মতো দেশে আপসকারী সিস্টেমগুলি লক্ষ্য করা গেছে।

অপেক্ষাকৃত নতুন হওয়া সত্ত্বেও, SteelFox একটি ব্যাপক ক্রাইমওয়্যার প্যাকেজ। ম্যালওয়্যার বিশ্লেষণ পরামর্শ দেয় যে এর বিকাশকারী C++ প্রোগ্রামিংয়ে দক্ষ এবং ম্যালওয়্যারের একটি অত্যন্ত কার্যকরী অংশ তৈরি করতে বাহ্যিক লাইব্রেরিগুলিকে অন্তর্ভুক্ত করেছে।