Malware SteelFox
Byl objeven nový hrozivý balíček známý jako SteelFox. Zaměřuje se na systémy Windows k těžbě kryptoměn a získávání informací o kreditních kartách. Malware využívá techniku zvanou „přineste si vlastní zranitelný ovladač“ k povýšení oprávnění na úroveň SYSTÉMU, což mu umožňuje obejít bezpečnostní opatření.
Malware se primárně šíří prostřednictvím fór a torrentových stránek, kde se vydává za crackovací nástroj, který aktivuje legitimní software, jako je Foxit PDF Editor, JetBrains a AutoCAD. Použití zranitelných ovladačů pro eskalaci oprávnění je taktika běžně spojovaná se státem sponzorovanými hrozbami a skupinami ransomwaru. Přesto se nyní zdá, že je přijat také malwarovými kampaněmi shromažďujícími informace.
Výzkumníci poprvé identifikovali operaci SteelFox v srpnu, i když poznamenali, že malware je aktivní od února 2023. Jeho distribuce v posledních měsících narůstá prostřednictvím různých kanálů, včetně torrentů, blogů a příspěvků na fórech.
Obsah
SteelFox infekce a eskalace privilegií
Zprávy naznačují, že příspěvky propagující kapátko malwaru SteelFox často obsahují podrobné pokyny, jak nelegálně aktivovat software. Například jeden takový příspěvek nabízí podrobné pokyny, jak aktivovat JetBrains. Zatímco kapátko provádí inzerovanou funkci aktivace softwaru, uživatelé během tohoto procesu neúmyslně infikují své systémy malwarem.
Vzhledem k tomu, že cílový software je obvykle instalován v Program Files, přidání cracku vyžaduje přístup na úrovni správce, který malware využívá během svého útoku. Výzkumníci poznamenávají, že instalační proces se zdá být legitimní až do okamžiku, kdy jsou soubory rozbaleny. V této fázi je zavedena nebezpečná funkce, která poté zahodí kód zodpovědný za načtení SteelFox do systému.
Zneužívání zranitelných ovladačů
Jakmile SteelFox získá oprávnění správce, nainstaluje službu, která spouští WinRing0.sys, zranitelný ovladač náchylný k CVE-2020-14979 a CVE-2021-41285. Tyto zranitelnosti umožňují malwaru eskalovat oprávnění na úroveň NT/SYSTEM, což mu poskytuje nejvyšší úroveň přístupu k systému – účinnější než práva správce. Tato úroveň přístupu umožňuje malwaru volně manipulovat s jakýmkoli systémovým prostředkem nebo procesem.
Kromě eskalace oprávnění se při těžbě kryptoměn používá ovladač WinRing0.sys. Je součástí těžaře XMRig , který těží Monero. Útočník nasadí upravenou verzi tohoto těžaře nakonfigurovanou pro připojení k těžebnímu fondu s pevně zakódovanými přihlašovacími údaji.
Malware také naváže zabezpečené spojení se svým Command-and-Control (C2) serverem pomocí SSL pining a TLS v1.3, což zajišťuje, že komunikace je šifrována a chráněna před zachycením. Navíc aktivuje komponentu zcizení informací, která shromažďuje data ze třinácti webových prohlížečů, systémové informace, podrobnosti o síti a všechna připojení RDP (Remote Desktop Protocol). SteelFox dokáže sklízet data, včetně kreditních karet, historie procházení a souborů cookie.
SteelFox infikuje oběti z mnoha zemí
Ačkoli je doména C2 používaná SteelFoxem napevno zakódována, útočník ji skrývá tím, že často mění její IP adresy a řeší je pomocí Google Public DNS a DNS přes HTTPS (DoH). Útoky SteelFox se nezaměřují na konkrétní osoby, ale zdá se, že primárně postihují uživatele aplikací AutoCAD, JetBrains a Foxit PDF Editor. Malware byl pozorován při kompromitování systémů v zemích jako Brazílie, Čína, Rusko, Mexiko, Spojené arabské emiráty, Egypt, Alžírsko, Vietnam, Indie a Srí Lanka.
Navzdory tomu, že je SteelFox relativně nový, je komplexním kriminálním balíčkem. Analýza malwaru naznačuje, že jeho vývojář je zběhlý v programování v C++ a začlenil externí knihovny k vytvoření vysoce efektivního malwaru.
