SteelFox-haittaohjelma
Uusi uhkaava paketti, joka tunnetaan nimellä SteelFox, on löydetty. Se kohdistuu Windows-järjestelmiin kryptovaluuttojen louhimiseen ja luottokorttitietojen keräämiseen. Haittaohjelma käyttää "tuo oma haavoittuva kuljettajasi" -tekniikkaa oikeuksien laajentamiseen JÄRJESTELMÄN tasolle, jolloin se voi ohittaa turvatoimenpiteet.
Haittaohjelma leviää pääasiassa foorumien ja torrent-sivustojen kautta, missä se naamioituu murtotyökaluksi, joka aktivoi laillisia ohjelmistoja, kuten Foxit PDF Editor, JetBrains ja AutoCAD. Haavoittuvien ohjaimien käyttö oikeuksien laajentamiseen on taktiikka, joka liittyy yleisesti valtion tukemiin uhkatoimijoihin ja kiristysohjelmaryhmiin. Silti näyttää siltä, että se omaksuu myös tietoja keräävät haittaohjelmakampanjat.
Tutkijat tunnistivat SteelFox-operaation ensimmäisen kerran elokuussa, mutta totesivat, että haittaohjelma on ollut aktiivinen helmikuusta 2023 lähtien. Sen leviäminen on lisääntynyt viime kuukausina eri kanavien kautta, mukaan lukien torrentit, blogit ja foorumiviestit.
Sisällysluettelo
SteelFox-tartunta ja etuoikeuksien eskalaatio
Raportit osoittavat, että SteelFox-haittaohjelmia mainostavat viestit sisältävät usein yksityiskohtaisia ohjeita ohjelmiston laittomaan aktivoimiseen. Esimerkiksi yksi tällainen viesti tarjoaa vaiheittaiset ohjeet JetBrainsin aktivoimiseen. Vaikka tiputin suorittaa mainostetun toiminnon aktivoimalla ohjelmiston, käyttäjät saastuttavat vahingossa järjestelmänsä haittaohjelmilla.
Koska kohdeohjelmisto asennetaan yleensä ohjelmatiedostoihin, halkeaman lisääminen edellyttää järjestelmänvalvojan tason käyttöoikeuksia, joita haittaohjelma hyödyntää hyökkäyksensä aikana. Tutkijat huomauttavat, että asennusprosessi näyttää lailliselta aina siihen asti, kun tiedostot puretaan. Tässä vaiheessa otetaan käyttöön vaarallinen toiminto, joka sitten pudottaa SteelFoxin lataamisesta järjestelmään vastaavan koodin.
Haavoittuvien kuljettajien hyväksikäyttö
Kun SteelFox saa järjestelmänvalvojan oikeudet, se asentaa palvelun, joka käyttää WinRing0.sys-ajuria, joka on haavoittuva CVE-2020-14979- ja CVE-2021-41285-ajuri. Näiden haavoittuvuuksien ansiosta haittaohjelmat voivat laajentaa oikeuksia NT/SYSTEM-tasolle, mikä antaa sille korkeimman tason pääsyn järjestelmään – tehokkaampi kuin järjestelmänvalvojan oikeudet. Tämän käyttöoikeustason avulla haittaohjelmat voivat vapaasti manipuloida mitä tahansa järjestelmäresurssia tai prosesseja.
Etuoikeuksien eskaloinnin lisäksi WinRing0.sys-ohjainta käytetään kryptovaluutan louhinnassa. Se on osa XMRig -kaivostyömaata, joka louhii Moneroa. Hyökkääjä ottaa käyttöön tämän kaivostyökalun muokatun version, joka on määritetty muodostamaan yhteys kaivospooliin kovakoodatuilla tunnistetiedoilla.
Haittaohjelma muodostaa myös suojatun yhteyden Command-and-Control (C2) -palvelimeensa käyttämällä SSL-kiinnitystä ja TLS v1.3:a, mikä varmistaa, että viestintä on salattu ja suojattu sieppauksilta. Lisäksi se aktivoi info-stealer-komponentin, joka kerää tietoja kolmestatoista verkkoselaimesta, järjestelmätiedot, verkkotiedot ja kaikki RDP (Remote Desktop Protocol) -yhteydet. SteelFox voi kerätä tietoja, kuten luottokortteja, selaushistoriaa ja evästeitä.
SteelFox tartuttaa uhreja useista maista
Vaikka SteelFoxin käyttämä C2-verkkotunnus on kovakoodattu, hyökkääjä piilottaa sen vaihtamalla usein IP-osoitteitaan ja ratkaisemalla ne Googlen julkisen DNS:n ja DNS:n kautta HTTPS:n (DoH) kautta. SteelFox-hyökkäykset eivät kohdistu tiettyihin henkilöihin, mutta näyttävät vaikuttavan ensisijaisesti AutoCADin, JetBrainsin ja Foxit PDF Editorin käyttäjiin. Haittaohjelman on havaittu vaarantavan järjestelmiä muun muassa Brasiliassa, Kiinassa, Venäjällä, Meksikossa, Arabiemiirikunnissa, Egyptissä, Algeriassa, Vietnamissa, Intiassa ja Sri Lankassa.
Vaikka SteelFox on suhteellisen uusi, se on kattava rikosohjelmistopaketti. Haittaohjelmaanalyysi viittaa siihen, että sen kehittäjä hallitsee C++-ohjelmoinnin ja on sisällyttänyt ulkoisia kirjastoja luodakseen erittäin tehokkaan haittaohjelman.
