SteelFox Malware

स्टीलफॉक्स नामक एक नया खतरनाक पैकेज खोजा गया है। यह क्रिप्टोकरेंसी माइन करने और क्रेडिट कार्ड की जानकारी प्राप्त करने के लिए विंडोज सिस्टम को लक्षित करता है। मैलवेयर सिस्टम स्तर पर विशेषाधिकारों को बढ़ाने के लिए 'अपना खुद का कमजोर ड्राइवर लाओ' नामक तकनीक का उपयोग करता है, जिससे यह सुरक्षा उपायों को बायपास करने की अनुमति देता है।

मैलवेयर मुख्य रूप से फ़ोरम और टोरेंट साइट्स के ज़रिए फैलता है, जहाँ यह एक क्रैक टूल के रूप में सामने आता है जो फॉक्सिट पीडीएफ एडिटर, जेटब्रेन्स और ऑटोकैड जैसे वैध सॉफ़्टवेयर को सक्रिय करता है। विशेषाधिकार वृद्धि के लिए कमज़ोर ड्राइवरों का उपयोग एक ऐसी रणनीति है जो आमतौर पर राज्य प्रायोजित ख़तरा पैदा करने वाले अभिनेताओं और रैनसमवेयर समूहों से जुड़ी होती है। फिर भी, अब ऐसा लगता है कि इसे सूचना-संग्रह करने वाले मैलवेयर अभियानों द्वारा भी अपनाया जा रहा है।

शोधकर्ताओं ने पहली बार अगस्त में स्टीलफॉक्स ऑपरेशन की पहचान की, हालांकि उन्होंने नोट किया कि मैलवेयर फरवरी 2023 से सक्रिय है। हाल के महीनों में टोरेंट, ब्लॉग और फ़ोरम पोस्ट सहित विभिन्न चैनलों के माध्यम से इसका वितरण बढ़ रहा है।

स्टीलफॉक्स संक्रमण और विशेषाधिकार वृद्धि

रिपोर्ट्स बताती हैं कि स्टीलफॉक्स मैलवेयर ड्रॉपर को बढ़ावा देने वाले पोस्ट में अक्सर सॉफ़्टवेयर को अवैध रूप से सक्रिय करने के बारे में विस्तृत निर्देश शामिल होते हैं। उदाहरण के लिए, ऐसी ही एक पोस्ट जेटब्रेन्स को सक्रिय करने के तरीके के बारे में चरण-दर-चरण मार्गदर्शन प्रदान करती है। हालाँकि ड्रॉपर सॉफ़्टवेयर को सक्रिय करने का विज्ञापित कार्य करता है, लेकिन उपयोगकर्ता अनजाने में इस प्रक्रिया में अपने सिस्टम को मैलवेयर से संक्रमित कर देते हैं।

चूंकि लक्षित सॉफ़्टवेयर आमतौर पर प्रोग्राम फ़ाइलों में इंस्टॉल किया जाता है, इसलिए क्रैक जोड़ने के लिए एडमिनिस्ट्रेटर-स्तर की पहुँच की आवश्यकता होती है, जिसका मैलवेयर अपने हमले के दौरान लाभ उठाता है। शोधकर्ताओं ने नोट किया कि इंस्टॉलेशन प्रक्रिया तब तक वैध प्रतीत होती है जब तक कि फ़ाइलें अनपैक नहीं हो जातीं। उस चरण में, एक असुरक्षित फ़ंक्शन पेश किया जाता है, जो तब सिस्टम पर स्टीलफ़ॉक्स लोड करने के लिए ज़िम्मेदार कोड को हटा देता है।

कमज़ोर ड्राइवरों का शोषण

एक बार जब SteelFox को प्रशासनिक विशेषाधिकार प्राप्त हो जाते हैं, तो यह एक ऐसी सेवा स्थापित करता है जो WinRing0.sys चलाती है, जो एक असुरक्षित ड्राइवर है जो CVE-2020-14979 और CVE-2021-41285 के लिए अतिसंवेदनशील है। ये कमज़ोरियाँ मैलवेयर को NT/SYSTEM स्तर तक विशेषाधिकार बढ़ाने की अनुमति देती हैं, जिससे उसे सिस्टम तक पहुँच का उच्चतम स्तर मिलता है - जो व्यवस्थापक अधिकारों से अधिक शक्तिशाली है। पहुँच का यह स्तर मैलवेयर को किसी भी सिस्टम संसाधन या प्रक्रिया को स्वतंत्र रूप से हेरफेर करने में सक्षम बनाता है।

विशेषाधिकार वृद्धि के अलावा, WinRing0.sys ड्राइवर का उपयोग क्रिप्टोकरेंसी माइनिंग में किया जाता है। यह XMRig माइनर का हिस्सा है, जो मोनेरो को माइन करता है। हमलावर इस माइनर का एक संशोधित संस्करण तैनात करता है, जिसे हार्डकोडेड क्रेडेंशियल के साथ माइनिंग पूल से कनेक्ट करने के लिए कॉन्फ़िगर किया गया है।

मैलवेयर SSL पिनिंग और TLS v1.3 का उपयोग करके अपने कमांड-एंड-कंट्रोल (C2) सर्वर के साथ एक सुरक्षित कनेक्शन भी स्थापित करता है, जिससे यह सुनिश्चित होता है कि संचार एन्क्रिप्टेड हैं और अवरोधन से सुरक्षित हैं। इसके अतिरिक्त, यह एक सूचना-चोरी करने वाले घटक को सक्रिय करता है जो तेरह वेब ब्राउज़र, सिस्टम जानकारी, नेटवर्क विवरण और किसी भी RDP (रिमोट डेस्कटॉप प्रोटोकॉल) कनेक्शन से डेटा एकत्र करता है। स्टीलफॉक्स क्रेडिट कार्ड, ब्राउज़िंग इतिहास और कुकीज़ सहित डेटा एकत्र कर सकता है।

स्टीलफॉक्स ने कई देशों के पीड़ितों को संक्रमित किया

हालाँकि स्टीलफॉक्स द्वारा इस्तेमाल किया जाने वाला C2 डोमेन हार्डकोडेड है, लेकिन हमलावर इसके IP पते को बार-बार बदलकर और उन्हें Google पब्लिक DNS और DNS ओवर HTTPS (DoH) के ज़रिए हल करके इसे छुपाता है। स्टीलफॉक्स हमले किसी खास व्यक्ति को निशाना नहीं बनाते, बल्कि मुख्य रूप से ऑटोकैड, जेटब्रेन्स और फॉक्सिट पीडीएफ एडिटर के उपयोगकर्ताओं को प्रभावित करते हैं। इस मैलवेयर को ब्राज़ील, चीन, रूस, मैक्सिको, यूएई, मिस्र, अल्जीरिया, वियतनाम, भारत और श्रीलंका जैसे देशों में सिस्टम से समझौता करते हुए देखा गया है।

अपेक्षाकृत नया होने के बावजूद, स्टीलफॉक्स एक व्यापक क्राइमवेयर पैकेज है। मैलवेयर विश्लेषण से पता चलता है कि इसका डेवलपर C++ प्रोग्रामिंग में कुशल है और उसने मैलवेयर का एक अत्यधिक प्रभावी टुकड़ा तैयार करने के लिए बाहरी लाइब्रेरी को शामिल किया है।