SteelFox Malware
En ny trusselpakke kendt som SteelFox er blevet opdaget. Det er rettet mod Windows-systemer til at udvinde kryptovaluta og høste kreditkortoplysninger. Malwaren bruger en teknik kaldet 'medbring din egen sårbare driver' til at eskalere privilegier til SYSTEM-niveauet, så det kan omgå sikkerhedsforanstaltninger.
Malwaren spredes primært gennem fora og torrent-websteder, hvor den udgiver sig som et crack-værktøj, der aktiverer legitim software som Foxit PDF Editor, JetBrains og AutoCAD. Brugen af sårbare drivere til privilegieeskalering er en taktik, der almindeligvis forbindes med statssponsorerede trusselsaktører og ransomware-grupper. Alligevel ser det nu ud til, at det også er blevet vedtaget af informationsindsamling af malware-kampagner.
Forskere identificerede først SteelFox-operationen i august, selvom de bemærkede, at malwaren har været aktiv siden februar 2023. Dens distribution er steget i de seneste måneder gennem forskellige kanaler, herunder torrents, blogs og forumindlæg.
Indholdsfortegnelse
SteelFox-infektion og privilegie-eskalering
Rapporter tyder på, at indlæg, der promoverer SteelFox malware dropper, ofte indeholder detaljerede instruktioner om, hvordan man aktiverer software ulovligt. For eksempel tilbyder et sådant indlæg trin-for-trin vejledning om, hvordan man aktiverer JetBrains. Mens dropperen udfører den annoncerede funktion med at aktivere softwaren, inficerer brugere utilsigtet deres systemer med malware i processen.
Da den målrettede software typisk er installeret i programfilerne, kræver tilføjelse af crack adgang på administratorniveau, som malwaren udnytter under sit angreb. Forskere bemærker, at installationsprocessen virker legitim indtil det punkt, hvor filerne pakkes ud. På det tidspunkt introduceres en usikker funktion, som så dropper koden, der er ansvarlig for at indlæse SteelFox på systemet.
Udnyttelse af sårbare chauffører
Når SteelFox har opnået administrative rettigheder, installerer den en tjeneste, der kører WinRing0.sys, en sårbar driver, der er modtagelig for CVE-2020-14979 og CVE-2021-41285. Disse sårbarheder gør det muligt for malwaren at eskalere privilegier til NT/SYSTEM-niveauet, hvilket giver den det højeste niveau af adgang til systemet – mere potent end administratorrettigheder. Dette adgangsniveau gør det muligt for malwaren at manipulere enhver systemressource eller proces frit.
Ud over privilegie-eskalering bruges WinRing0.sys-driveren i cryptocurrency-mining. Det er en del af XMRig -minearbejderen, som udvinder Monero. Angriberen implementerer en modificeret version af denne minearbejder, konfigureret til at oprette forbindelse til en minepulje med hårdkodede legitimationsoplysninger.
Malwaren etablerer også en sikker forbindelse med sin Command-and-Control-server (C2) ved hjælp af SSL-pinning og TLS v1.3, hvilket sikrer, at kommunikation er krypteret og beskyttet mod aflytning. Derudover aktiverer den en info-stealer-komponent, der indsamler data fra tretten webbrowsere, systemoplysninger, netværksdetaljer og eventuelle RDP-forbindelser (Remote Desktop Protocol). SteelFox kan høste data, herunder kreditkort, browserhistorik og cookies.
SteelFox inficerer ofre fra talrige lande
Selvom C2-domænet, der bruges af SteelFox, er hårdkodet, skjuler angriberen det ved hyppigt at ændre dets IP-adresser og løse dem via Google Public DNS og DNS over HTTPS (DoH). SteelFox-angreb er ikke rettet mod specifikke individer, men ser ud til primært at påvirke brugere af AutoCAD, JetBrains og Foxit PDF Editor. Malwaren er blevet observeret kompromitterende systemer i lande som Brasilien, Kina, Rusland, Mexico, UAE, Egypten, Algeriet, Vietnam, Indien og Sri Lanka.
På trods af at det er relativt nyt, er SteelFox en omfattende kriminalitetspakke. Malware-analyse tyder på, at dens udvikler er dygtig til C++-programmering og har inkorporeret eksterne biblioteker for at lave et meget effektivt stykke malware.
