תוכנות זדוניות של SteelFox

חבילה מאיימת חדשה המכונה SteelFox התגלתה. הוא מכוון למערכות Windows כדי לכרות מטבעות קריפטוגרפיים ולקצור מידע על כרטיסי אשראי. התוכנה הזדונית משתמשת בטכניקה הנקראת 'הבא את מנהל ההתקן הפגיע שלך' כדי להעלות את ההרשאות לרמת ה-SYSTEM, מה שמאפשר לה לעקוף את אמצעי האבטחה.

התוכנה הזדונית מופצת בעיקר דרך פורומים ואתרי טורנט, שם היא מתחזה לכלי קראק שמפעיל תוכנות לגיטימיות כמו Foxit PDF Editor, JetBrains ו-AutoCAD. השימוש בנהגים פגיעים להסלמה של הרשאות היא טקטיקה שמזוהה בדרך כלל עם גורמי איומים בחסות המדינה וקבוצות של תוכנות כופר. ובכל זאת, נראה שהוא מאומץ גם על ידי מסעות פרסום של תוכנות זדוניות לאיסוף מידע.

חוקרים זיהו לראשונה את פעולת SteelFox באוגוסט, אם כי הם ציינו שהתוכנה הזדונית פעילה מאז פברואר 2023. ההפצה שלה הולכת וגדלה בחודשים האחרונים בערוצים שונים, כולל טורנטים, בלוגים ופוסטים בפורומים.

זיהום ב- SteelFox והסלמה של פריבילגיה

דיווחים מצביעים על כך שפוסטים המקדמים את מטה התוכנה הזדונית SteelFox כוללים לרוב הנחיות מפורטות כיצד להפעיל תוכנה באופן לא חוקי. לדוגמה, פוסט אחד כזה מציע הדרכה שלב אחר שלב כיצד להפעיל את JetBrains. בעוד שהטפטפת אכן מבצעת את הפונקציה המפורסמת של הפעלת התוכנה, משתמשים מדביקים בשוגג את המערכות שלהם בתוכנה זדונית בתהליך.

מכיוון שהתוכנה הממוקדת מותקנת בדרך כלל בקבצי התוכנית, הוספת הסדק דורשת גישה ברמת מנהל המערכת, אותה ממנפת התוכנה הזדונית במהלך התקפתה. החוקרים מציינים שתהליך ההתקנה נראה לגיטימי עד לנקודה שבה הקבצים פורקים. בשלב זה, מוצגת פונקציה לא בטוחה, אשר לאחר מכן מפילה את הקוד האחראי לטעינת SteelFox למערכת.

ניצול נהגים פגיעים

ברגע ש-SteelFox משיגה הרשאות ניהול, הוא מתקין שירות המריץ את WinRing0.sys, מנהל התקן פגיע הרגיש ל-CVE-2020-14979 ו-CVE-2021-41285. פגיעויות אלו מאפשרות לתוכנה הזדונית להסלים הרשאות לרמת NT/SYSTEM, ומעניקות לה את רמת הגישה הגבוהה ביותר למערכת - חזקה יותר מזכויות מנהל. רמת גישה זו מאפשרת לתוכנה הזדונית לתפעל כל משאב או תהליך מערכת באופן חופשי.

בנוסף להסלמה של הרשאות, מנהל ההתקן WinRing0.sys משמש בכריית מטבעות קריפטוגרפיים. זה חלק מכורה XMRig , שכורה את Monero. התוקף פורס גרסה שונה של כורה זה, המוגדרת להתחבר למאגר כרייה עם אישורים מקודדים.

התוכנה הזדונית גם מייצרת חיבור מאובטח עם שרת Command-and-Control (C2) שלה באמצעות הצמדת SSL ו-TLS v1.3, מה שמבטיח שהתקשורת מוצפנת ומוגנת מפני יירוט. בנוסף, הוא מפעיל רכיב גניבת מידע שאוסף נתונים משלושה עשר דפדפני אינטרנט, מידע מערכת, פרטי רשת וכל חיבורי RDP (Remote Desktop Protocol). SteelFox יכולה לאסוף נתונים, כולל כרטיסי אשראי, היסטוריית גלישה וקובצי Cookie.

SteelFox מדביק קורבנות ממדינות רבות

למרות שתחום ה-C2 המשמש את SteelFox מקודד קשה, התוקף מסתיר אותו על ידי שינוי תכוף של כתובות ה-IP שלו ופתרונן באמצעות Google Public DNS ו-DNS על HTTPS (DoH). התקפות SteelFox אינן מכוונות לאנשים ספציפיים, אך נראה כי הן משפיעות בעיקר על משתמשי AutoCAD, JetBrains ו-Foxit PDF Editor. התוכנה הזדונית נצפתה פוגעת במערכות במדינות כמו ברזיל, סין, רוסיה, מקסיקו, איחוד האמירויות הערביות, מצרים, אלג'יריה, וייטנאם, הודו וסרי לנקה.

למרות היותו חדש יחסית, SteelFox היא חבילת תוכנות פשע מקיפה. ניתוח תוכנות זדוניות מצביע על כך שהמפתח שלה בקיא בתכנות C++ ושילב ספריות חיצוניות כדי ליצור חלק יעיל ביותר של תוכנה זדונית.