SteelFox zlonamjerni softver
Otkriven je novi prijeteći paket poznat kao SteelFox. Usmjeren je na Windows sustave za rudarenje kriptovalute i prikupljanje podataka o kreditnim karticama. Zlonamjerni softver koristi tehniku pod nazivom 'donesite svoj vlastiti ranjivi upravljački program' za eskalaciju privilegija na razinu SUSTAVA, dopuštajući mu da zaobiđe sigurnosne mjere.
Zlonamjerni softver prvenstveno se širi preko foruma i torrent stranica, gdje se maskira kao alat za krekiranje koji aktivira legitiman softver kao što su Foxit PDF Editor, JetBrains i AutoCAD. Korištenje ranjivih pokretača za eskalaciju privilegija je taktika koja se obično povezuje s akterima prijetnji koje sponzorira država i grupama ransomwarea. Ipak, sada se čini da ga prihvaćaju i kampanje zlonamjernog softvera za prikupljanje informacija.
Istraživači su prvi put identificirali operaciju SteelFox u kolovozu, iako su primijetili da je zlonamjerni softver aktivan od veljače 2023. Njegova distribucija raste posljednjih mjeseci kroz različite kanale, uključujući torrente, blogove i objave na forumima.
Sadržaj
SteelFox infekcija i eskalacija privilegija
Izvješća pokazuju da postovi koji promoviraju SteelFox malware dropper često uključuju detaljne upute o tome kako ilegalno aktivirati softver. Na primjer, jedan takav post nudi upute korak po korak o tome kako aktivirati JetBrains. Iako dropper obavlja oglašenu funkciju aktiviranja softvera, korisnici tijekom procesa nenamjerno zaraze svoje sustave zlonamjernim softverom.
Budući da se ciljani softver obično instalira u programske datoteke, dodavanje cracka zahtijeva pristup na razini administratora, što zlonamjerni softver koristi tijekom svog napada. Istraživači primjećuju da se postupak instalacije čini legitimnim sve do trenutka kada se datoteke raspakiraju. U toj fazi uvodi se nesigurna funkcija koja zatim ispušta kod odgovoran za učitavanje SteelFoxa u sustav.
Iskorištavanje ranjivih vozača
Nakon što SteelFox dobije administrativne privilegije, instalira uslugu koja pokreće WinRing0.sys, ranjivi upravljački program osjetljiv na CVE-2020-14979 i CVE-2021-41285. Ove ranjivosti dopuštaju zlonamjernom softveru da eskalira privilegije na razinu NT/SUSTAVA, dajući mu najvišu razinu pristupa sustavu—jača od administratorskih prava. Ova razina pristupa omogućuje zlonamjernom softveru da slobodno manipulira bilo kojim sistemskim resursom ili procesom.
Osim eskalacije privilegija, WinRing0.sys driver se koristi u rudarenju kriptovaluta. Dio je XMRig rudara, koji rudari Monero. Napadač postavlja modificiranu verziju ovog rudara, konfiguriranu za povezivanje s bazenom za rudarenje s tvrdo kodiranim vjerodajnicama.
Zlonamjerni softver također uspostavlja sigurnu vezu sa svojim Command-and-Control (C2) poslužiteljem koristeći SSL pinning i TLS v1.3, osiguravajući da je komunikacija šifrirana i zaštićena od presretanja. Dodatno, aktivira komponentu kradljivca informacija koja prikuplja podatke iz trinaest web preglednika, informacije o sustavu, mrežne detalje i sve RDP (Remote Desktop Protocol) veze. SteelFox može prikupljati podatke, uključujući kreditne kartice, povijest pregledavanja i kolačiće.
SteelFox inficira žrtve iz brojnih zemalja
Iako je C2 domena koju koristi SteelFox tvrdo kodirana, napadač je skriva čestim mijenjanjem njezinih IP adresa i rješavanjem putem Google Public DNS-a i DNS-a preko HTTPS-a (DoH). SteelFox napadi ne ciljaju određene pojedince, ali čini se da primarno utječu na korisnike AutoCAD-a, JetBrainsa i Foxit PDF Editora. Uočeno je da zlonamjerni softver ugrožava sustave u zemljama kao što su Brazil, Kina, Rusija, Meksiko, UAE, Egipat, Alžir, Vijetnam, Indija i Šri Lanka.
Unatoč tome što je relativno nov, SteelFox je sveobuhvatan kriminalistički paket. Analiza zlonamjernog softvera sugerira da je njegov programer vješt u C++ programiranju i da je uključio vanjske biblioteke za izradu vrlo učinkovitog komada zlonamjernog softvera.
