Programari maliciós SteelFox
S'ha descobert un nou paquet amenaçador conegut com SteelFox. Està dirigit als sistemes Windows per extreure criptomoneda i recollir informació de la targeta de crèdit. El programari maliciós utilitza una tècnica anomenada "porta el teu propi controlador vulnerable" per augmentar els privilegis al nivell del SISTEMA, cosa que li permet evitar les mesures de seguretat.
El programari maliciós es propaga principalment a través de fòrums i llocs de torrent, on es fa passar per una eina de crack que activa programari legítim com Foxit PDF Editor, JetBrains i AutoCAD. L'ús de controladors vulnerables per a l'escalada de privilegis és una tàctica que s'associa habitualment amb els actors d'amenaces patrocinats per l'estat i els grups de ransomware. Tot i així, ara sembla que també s'adopta per campanyes de recollida d'informació de programari maliciós.
Els investigadors van identificar per primera vegada l'operació SteelFox a l'agost, tot i que van assenyalar que el programari maliciós està actiu des del febrer de 2023. La seva distribució s'ha incrementat en els últims mesos a través de diversos canals, inclosos torrents, blocs i publicacions en fòrums.
Taula de continguts
Infecció SteelFox i escalada de privilegis
Els informes indiquen que les publicacions que promocionen el comptador de programari maliciós SteelFox sovint inclouen instruccions detallades sobre com activar el programari de manera il·legal. Per exemple, una d'aquestes publicacions ofereix una guia pas a pas sobre com activar JetBrains. Tot i que el comptagotes realitza la funció anunciada d'activar el programari, els usuaris infecten sense voler els seus sistemes amb programari maliciós en el procés.
Com que el programari de destinació s'instal·la normalment als fitxers de programa, afegir el crack requereix un accés a nivell d'administrador, que el programari maliciós aprofita durant el seu atac. Els investigadors assenyalen que el procés d'instal·lació sembla legítim fins al punt en què es desempaqueten els fitxers. En aquesta etapa, s'introdueix una funció no segura, que després deixa anar el codi responsable de carregar SteelFox al sistema.
Explotació de conductors vulnerables
Un cop SteelFox aconsegueix privilegis administratius, instal·la un servei que executa WinRing0.sys, un controlador vulnerable susceptible a CVE-2020-14979 i CVE-2021-41285. Aquestes vulnerabilitats permeten que el programari maliciós augmenti els privilegis al nivell NT/SYSTEM, atorgant-li el nivell més alt d'accés al sistema, més potent que els drets d'administrador. Aquest nivell d'accés permet que el programari maliciós manipuli qualsevol recurs o procés del sistema lliurement.
A més de l'escalada de privilegis, el controlador WinRing0.sys s'utilitza en la mineria de criptomoneda. Forma part de la minera XMRig , que explota Monero. L'atacant desplega una versió modificada d'aquest miner, configurada per connectar-se a un grup de mineria amb credencials codificades.
El programari maliciós també estableix una connexió segura amb el seu servidor Command-and-Control (C2) mitjançant fixació SSL i TLS v1.3, assegurant que les comunicacions estiguin xifrades i protegides de la intercepció. A més, activa un component de robatori d'informació que recopila dades de tretze navegadors web, informació del sistema, detalls de xarxa i qualsevol connexió RDP (Protocol d'escriptori remot). SteelFox pot recollir dades, incloses targetes de crèdit, historial de navegació i galetes.
SteelFox infecta víctimes de nombrosos països
Tot i que el domini C2 utilitzat per SteelFox està codificat en dur, l'atacant l'amaga canviant freqüentment les seves adreces IP i resolent-les mitjançant Google Public DNS i DNS per HTTPS (DoH). Els atacs de SteelFox no s'adrecen a persones específiques, però sembla que afecten principalment els usuaris d'AutoCAD, JetBrains i Foxit PDF Editor. S'ha observat que el programari maliciós compromet sistemes en països com el Brasil, la Xina, Rússia, Mèxic, els Emirats Àrabs Units, Egipte, Algèria, Vietnam, l'Índia i Sri Lanka.
Tot i ser relativament nou, SteelFox és un paquet complet de programari criminal. L'anàlisi de programari maliciós suggereix que el seu desenvolupador és competent en programació C++ i ha incorporat biblioteques externes per crear una peça de programari maliciós altament eficaç.
