بدافزار SteelFox

یک بسته تهدیدآمیز جدید به نام SteelFox کشف شده است. سیستم های ویندوز را برای استخراج ارزهای دیجیتال و جمع آوری اطلاعات کارت اعتباری هدف قرار می دهد. این بدافزار از تکنیکی به نام «درایور آسیب‌پذیر خود را بیاورید» برای افزایش امتیازات به سطح SYSTEM استفاده می‌کند و به آن اجازه می‌دهد اقدامات امنیتی را دور بزند.

بدافزار عمدتاً از طریق انجمن‌ها و سایت‌های تورنت پخش می‌شود، جایی که به عنوان یک ابزار کرک ظاهر می‌شود که نرم‌افزارهای قانونی مانند Foxit PDF Editor، JetBrains و AutoCAD را فعال می‌کند. استفاده از درایورهای آسیب‌پذیر برای افزایش امتیاز تاکتیکی است که معمولاً با عوامل تهدید و گروه‌های باج‌افزار حمایت‌شده از سوی دولت مرتبط است. با این حال، اکنون به نظر می رسد که توسط کمپین های بدافزار جمع آوری اطلاعات نیز پذیرفته شده است.

محققان برای اولین بار عملیات SteelFox را در ماه آگوست شناسایی کردند، اگرچه آنها اشاره کردند که این بدافزار از فوریه 2023 فعال بوده است. توزیع آن در ماه های اخیر از طریق کانال های مختلف از جمله تورنت ها، وبلاگ ها و پست های انجمن افزایش یافته است.

عفونت SteelFox و افزایش امتیازات

گزارش‌ها نشان می‌دهند که پست‌های تبلیغ کننده بدافزار SteelFox اغلب شامل دستورالعمل‌های دقیق در مورد نحوه فعال‌سازی غیرقانونی نرم‌افزار است. به عنوان مثال، یکی از این پست ها راهنمایی های گام به گام در مورد نحوه فعال کردن JetBrains را ارائه می دهد. در حالی که قطره چکان عملکرد تبلیغ شده فعال کردن نرم افزار را انجام می دهد، کاربران به طور ناخواسته سیستم خود را در این فرآیند با بدافزار آلوده می کنند.

از آنجایی که نرم‌افزار هدف معمولاً در فایل‌های برنامه نصب می‌شود، افزودن کرک نیاز به دسترسی در سطح سرپرست دارد که بدافزار در طول حمله از آن استفاده می‌کند. محققان خاطرنشان می‌کنند که فرآیند نصب تا زمانی که فایل‌ها از بسته‌بندی باز می‌شوند، قانونی به نظر می‌رسد. در آن مرحله، یک تابع ناامن معرفی می‌شود، که سپس کد مسئول بارگذاری SteelFox را روی سیستم می‌ریزد.

بهره برداری از رانندگان آسیب پذیر

هنگامی که SteelFox امتیازات مدیریتی را به دست آورد، سرویسی را نصب می‌کند که WinRing0.sys را اجرا می‌کند، یک درایور آسیب‌پذیر مستعد CVE-2020-14979 و CVE-2021-41285. این آسیب‌پذیری‌ها به بدافزار اجازه می‌دهد تا امتیازات خود را به سطح NT/SYSTEM افزایش دهد و به آن بالاترین سطح دسترسی به سیستم را بدهد - قوی‌تر از حقوق مدیر. این سطح دسترسی بدافزار را قادر می سازد تا هر منبع یا فرآیند سیستم را آزادانه دستکاری کند.

علاوه بر افزایش امتیاز، درایور WinRing0.sys در استخراج ارزهای دیجیتال استفاده می شود. این بخشی از ماینر XMRig است که Monero را استخراج می کند. مهاجم یک نسخه اصلاح شده از این ماینر را به کار می گیرد که برای اتصال به یک استخر استخراج با اعتبارنامه هاردکد پیکربندی شده است.

این بدافزار همچنین با استفاده از پین کردن SSL و TLS v1.3 با سرور Command-and-Control (C2) خود یک ارتباط امن برقرار می‌کند و اطمینان می‌دهد که ارتباطات رمزگذاری شده و از رهگیری محافظت می‌شود. علاوه بر این، یک مؤلفه دزد اطلاعات را فعال می کند که داده ها را از سیزده مرورگر وب، اطلاعات سیستم، جزئیات شبکه و هرگونه اتصال RDP (پروتکل دسکتاپ از راه دور) جمع آوری می کند. SteelFox می تواند داده ها، از جمله کارت های اعتباری، تاریخچه مرور، و کوکی ها را جمع آوری کند.

استیل فاکس قربانیان بسیاری از کشورهای جهان را آلوده می کند

اگرچه دامنه C2 مورد استفاده توسط SteelFox دارای کد سخت است، اما مهاجم با تغییر مکرر آدرس های IP خود و حل آنها از طریق Google Public DNS و DNS از طریق HTTPS (DoH) آن را پنهان می کند. حملات SteelFox افراد خاصی را هدف قرار نمی‌دهند، اما به نظر می‌رسد که عمدتاً بر کاربران AutoCAD، JetBrains و Foxit PDF Editor تأثیر می‌گذارند. مشاهده شده است که این بدافزار سیستم‌ها را در کشورهایی مانند برزیل، چین، روسیه، مکزیک، امارات، مصر، الجزایر، ویتنام، هند و سری‌لانکا به خطر می‌اندازد.

علیرغم اینکه SteelFox نسبتا جدید است، یک بسته نرم افزاری مجرمانه جامع است. تجزیه و تحلیل بدافزار نشان می‌دهد که توسعه‌دهنده آن در برنامه‌نویسی ++C مهارت دارد و کتابخانه‌های خارجی را برای ساختن یک بدافزار بسیار مؤثر ترکیب کرده است.