Κακόβουλο λογισμικό SteelFox
Ανακαλύφθηκε ένα νέο απειλητικό πακέτο γνωστό ως SteelFox. Στοχεύει συστήματα Windows για εξόρυξη κρυπτονομισμάτων και συλλογή πληροφοριών πιστωτικών καρτών. Το κακόβουλο λογισμικό χρησιμοποιεί μια τεχνική που ονομάζεται «φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης» για να κλιμακώσει τα προνόμια στο επίπεδο του ΣΥΣΤΗΜΑΤΟΣ, επιτρέποντάς του να παρακάμψει τα μέτρα ασφαλείας.
Το κακόβουλο λογισμικό διαδίδεται κυρίως μέσω φόρουμ και τοποθεσιών torrent, όπου μεταμφιέζεται ως εργαλείο σπασίματος που ενεργοποιεί νόμιμο λογισμικό όπως το Foxit PDF Editor, το JetBrains και το AutoCAD. Η χρήση ευάλωτων προγραμμάτων οδήγησης για την κλιμάκωση των προνομίων είναι μια τακτική που συνήθως συνδέεται με φορείς απειλών που χρηματοδοτούνται από το κράτος και ομάδες ransomware. Ωστόσο, φαίνεται τώρα να υιοθετείται και από καμπάνιες κακόβουλου λογισμικού συλλογής πληροφοριών.
Οι ερευνητές εντόπισαν για πρώτη φορά τη λειτουργία SteelFox τον Αύγουστο, αν και παρατήρησαν ότι το κακόβουλο λογισμικό ήταν ενεργό από τον Φεβρουάριο του 2023. Η διανομή του έχει αυξηθεί τους τελευταίους μήνες μέσω διαφόρων καναλιών, συμπεριλαμβανομένων torrents, blogs και αναρτήσεων φόρουμ.
Πίνακας περιεχομένων
SteelFox μόλυνση και κλιμάκωση προνομίων
Οι αναφορές δείχνουν ότι οι αναρτήσεις που προωθούν το σταγονόμετρο κακόβουλου λογισμικού SteelFox συχνά περιλαμβάνουν λεπτομερείς οδηγίες σχετικά με τον τρόπο παράνομης ενεργοποίησης λογισμικού. Για παράδειγμα, μια τέτοια ανάρτηση προσφέρει οδηγίες βήμα προς βήμα για το πώς να ενεργοποιήσετε το JetBrains. Ενώ το σταγονόμετρο εκτελεί τη διαφημιζόμενη λειτουργία της ενεργοποίησης του λογισμικού, οι χρήστες μολύνουν κατά λάθος τα συστήματά τους με κακόβουλο λογισμικό στη διαδικασία.
Εφόσον το στοχευμένο λογισμικό εγκαθίσταται συνήθως στα Αρχεία Προγράμματος, η προσθήκη της ρωγμής απαιτεί πρόσβαση σε επίπεδο διαχειριστή, την οποία το κακόβουλο λογισμικό αξιοποιεί κατά την επίθεσή του. Οι ερευνητές σημειώνουν ότι η διαδικασία εγκατάστασης φαίνεται νόμιμη μέχρι το σημείο που αποσυσκευάζονται τα αρχεία. Σε αυτό το στάδιο, εισάγεται μια μη ασφαλής λειτουργία, η οποία στη συνέχεια ρίχνει τον κώδικα που είναι υπεύθυνος για τη φόρτωση του SteelFox στο σύστημα.
Εκμετάλλευση ευάλωτων οδηγών
Μόλις η SteelFox αποκτήσει δικαιώματα διαχειριστή, εγκαθιστά μια υπηρεσία που εκτελεί το WinRing0.sys, ένα ευάλωτο πρόγραμμα οδήγησης που είναι ευαίσθητο σε CVE-2020-14979 και CVE-2021-41285. Αυτά τα τρωτά σημεία επιτρέπουν στο κακόβουλο λογισμικό να κλιμακώσει τα δικαιώματα σε επίπεδο NT/SYSTEM, παρέχοντάς του το υψηλότερο επίπεδο πρόσβασης στο σύστημα—πιο ισχυρό από τα δικαιώματα διαχειριστή. Αυτό το επίπεδο πρόσβασης επιτρέπει στο κακόβουλο λογισμικό να χειρίζεται ελεύθερα οποιονδήποτε πόρο ή διαδικασία συστήματος.
Εκτός από την κλιμάκωση των προνομίων, το πρόγραμμα οδήγησης WinRing0.sys χρησιμοποιείται στην εξόρυξη κρυπτονομισμάτων. Είναι μέρος του XMRig miner, που εξορύσσει Monero. Ο εισβολέας αναπτύσσει μια τροποποιημένη έκδοση αυτού του ανθρακωρύχου, που έχει ρυθμιστεί να συνδέεται σε μια πισίνα εξόρυξης με σκληρά κωδικοποιημένα διαπιστευτήρια.
Το κακόβουλο λογισμικό δημιουργεί επίσης μια ασφαλή σύνδεση με τον διακομιστή Command-and-Control (C2) χρησιμοποιώντας καρφίτσωμα SSL και TLS v1.3, διασφαλίζοντας ότι οι επικοινωνίες είναι κρυπτογραφημένες και προστατευμένες από υποκλοπές. Επιπλέον, ενεργοποιεί ένα στοιχείο info-stealer που συλλέγει δεδομένα από δεκατρία προγράμματα περιήγησης στο Web, πληροφορίες συστήματος, λεπτομέρειες δικτύου και τυχόν συνδέσεις RDP (Remote Desktop Protocol). Η SteelFox μπορεί να συλλέξει δεδομένα, συμπεριλαμβανομένων πιστωτικών καρτών, ιστορικού περιήγησης και cookies.
Η SteelFox μολύνει θύματα από πολλές χώρες
Αν και ο τομέας C2 που χρησιμοποιείται από τη SteelFox είναι κωδικοποιημένος, ο εισβολέας τον αποκρύπτει αλλάζοντας συχνά τις διευθύνσεις IP του και επιλύοντάς τες μέσω του Google Public DNS και DNS μέσω HTTPS (DoH). Οι επιθέσεις SteelFox δεν στοχεύουν συγκεκριμένα άτομα, αλλά φαίνεται να επηρεάζουν κυρίως τους χρήστες του AutoCAD, του JetBrains και του Foxit PDF Editor. Το κακόβουλο λογισμικό έχει παρατηρηθεί να διακυβεύει συστήματα σε χώρες όπως η Βραζιλία, η Κίνα, η Ρωσία, το Μεξικό, τα Ηνωμένα Αραβικά Εμιράτα, η Αίγυπτος, η Αλγερία, το Βιετνάμ, η Ινδία και η Σρι Λάνκα.
Παρά το γεγονός ότι είναι σχετικά νέο, το SteelFox είναι ένα ολοκληρωμένο πακέτο εγκληματολογικού λογισμικού. Η ανάλυση κακόβουλου λογισμικού υποδηλώνει ότι ο προγραμματιστής του είναι ικανός στον προγραμματισμό C++ και έχει ενσωματώσει εξωτερικές βιβλιοθήκες για να δημιουργήσει ένα εξαιρετικά αποτελεσματικό κομμάτι κακόβουλου λογισμικού.
