SteelFoxi pahavara
Avastati uus ähvardav pakett nimega SteelFox. See on suunatud Windowsi süsteemidele krüptovaluutade kaevandamiseks ja krediitkaarditeabe kogumiseks. Pahavara kasutab õiguste tõstmiseks SÜSTEEMI tasemele tehnikat nimega „tooke oma haavatav draiver”, võimaldades sellel turvameetmetest mööda minna.
Pahavara levib peamiselt foorumite ja torrent-saitide kaudu, kus see maskeeritakse mõramistööriistana, mis aktiveerib legitiimset tarkvara, nagu Foxit PDF Editor, JetBrains ja AutoCAD. Haavatavate draiverite kasutamine privileegide suurendamiseks on taktika, mida tavaliselt seostatakse riiklikult toetatud ohus osalejate ja lunavararühmadega. Sellegipoolest näib seda nüüd omaks võtnud ka pahavara teabe kogumise kampaaniad.
Teadlased tuvastasid SteelFoxi operatsiooni esmakordselt augustis, kuigi nad märkisid, et pahavara on olnud aktiivne alates 2023. aasta veebruarist. Selle levitamine on viimastel kuudel hoogustunud erinevate kanalite, sealhulgas torrentide, ajaveebi ja foorumipostituste kaudu.
Sisukord
SteelFoxi infektsioon ja privileegide eskalatsioon
Aruanded näitavad, et SteelFoxi pahavara tilgutajat reklaamivad postitused sisaldavad sageli üksikasjalikke juhiseid tarkvara ebaseadusliku aktiveerimise kohta. Näiteks üks selline postitus pakub samm-sammult juhiseid JetBrainsi aktiveerimiseks. Kuigi tilguti täidab reklaamitud tarkvara aktiveerimise funktsiooni, nakatavad kasutajad selle käigus kogemata oma süsteeme pahavaraga.
Kuna sihitud tarkvara installitakse tavaliselt programmifailidesse, nõuab mõra lisamine administraatoritaseme juurdepääsu, mida pahavara rünnaku ajal kasutab. Teadlased märgivad, et installiprotsess näib olevat seaduslik kuni hetkeni, mil failid lahti pakitakse. Selles etapis võetakse kasutusele ebaturvaline funktsioon, mis seejärel eemaldab SteelFoxi süsteemi laadimise eest vastutava koodi.
Haavatavate juhtide ärakasutamine
Kui SteelFox saab administraatoriõigused, installib ta teenuse, mis käitab WinRing0.sys, haavatavat draiverit, mis on vastuvõtlik CVE-2020-14979 ja CVE-2021-41285 suhtes. Need haavatavused võimaldavad pahavaral suurendada privileege NT/SÜSTEEMI tasemele, andes sellele süsteemile kõrgeima juurdepääsutaseme – mis on tugevam kui administraatori õigused. See juurdepääsutase võimaldab pahavaral vabalt manipuleerida mis tahes süsteemiressursside või protsessidega.
Lisaks privileegide eskaleerimisele kasutatakse WinRing0.sys draiverit krüptoraha kaevandamisel. See on osa kaevurist XMRig , mis kaevandab Monerot. Ründaja juurutab selle kaevandaja muudetud versiooni, mis on konfigureeritud kaitstud mandaatidega kaevandusbasseiniga ühenduse loomiseks.
Pahavara loob turvalise ühenduse ka oma Command-and-Control (C2) serveriga, kasutades SSL-i kinnitamist ja TLS v1.3, tagades side krüpteerimise ja pealtkuulamise eest kaitstud. Lisaks aktiveerib see teabevarastava komponendi, mis kogub andmeid kolmeteistkümnest veebibrauserist, süsteemiteavet, võrgu üksikasju ja mis tahes RDP (Remote Desktop Protocol) ühendustest. SteelFox saab koguda andmeid, sealhulgas krediitkaarte, sirvimisajalugu ja küpsiseid.
SteelFox nakatab ohvreid paljudest riikidest
Kuigi SteelFoxi kasutatav C2 domeen on kõvakoodiga, varjab ründaja seda, muutes sageli oma IP-aadresse ja lahendades need Google'i avaliku DNS-i ja DNS-i kaudu HTTPS-i (DoH) kaudu. SteelFoxi rünnakud ei ole suunatud konkreetsetele isikutele, vaid näivad mõjutavat peamiselt AutoCADi, JetBrainsi ja Foxit PDF Editori kasutajaid. Pahavara on täheldatud sellistes riikides nagu Brasiilia, Hiina, Venemaa, Mehhiko, AÜE, Egiptus, Alžeeria, Vietnam, India ja Sri Lanka.
Vaatamata sellele, et SteelFox on suhteliselt uus, on see kõikehõlmav kuritegevuse pakett. Pahavara analüüs viitab sellele, et selle arendaja valdab C++ programmeerimist ja on lisanud väliseid teeke, et luua väga tõhus pahavara.
