SteelFox malware
A SteelFox néven ismert új fenyegető csomagot fedeztek fel. A Windows rendszereket célozza meg kriptovaluta bányászatára és hitelkártyaadatok begyűjtésére. A rosszindulatú program a „hozd be a saját sebezhető illesztőprogramodat” technikát alkalmaz, hogy a jogosultságokat a RENDSZER szintre emelje, lehetővé téve a biztonsági intézkedések megkerülését.
A kártevő elsősorban fórumokon és torrentoldalakon terjed, ahol feltörő eszköznek álcázza magát, amely olyan legitim szoftvereket aktivál, mint a Foxit PDF Editor, a JetBrains és az AutoCAD. A sebezhető illesztőprogramok privilégiumok kiterjesztésére való használata az államilag szponzorált fenyegetés szereplőivel és zsarolóprogram-csoportokkal kapcsolatos taktika. Ennek ellenére úgy tűnik, hogy ma már a rosszindulatú programokat gyűjtő kampányok is átveszik.
A kutatók először augusztusban azonosították a SteelFox műveletet, bár megjegyezték, hogy a rosszindulatú program 2023 februárja óta aktív. Elterjedése az elmúlt hónapokban különböző csatornákon, köztük torrenteken, blogokon és fórumbejegyzéseken keresztül nőtt.
Tartalomjegyzék
A SteelFox fertőzés és a privilégiumok eszkalációja
A jelentések szerint a SteelFox malware droppert népszerűsítő bejegyzések gyakran tartalmaznak részletes utasításokat a szoftverek illegális aktiválására vonatkozóan. Például egy ilyen bejegyzés lépésről lépésre útmutatást nyújt a JetBrains aktiválásához. Míg a cseppentő végrehajtja a szoftver aktiválásának hirdetett funkcióját, a felhasználók a folyamat során véletlenül megfertőzik rendszereiket rosszindulatú programokkal.
Mivel a megcélzott szoftver általában a Program Filesba van telepítve, a crack hozzáadásához rendszergazdai szintű hozzáférés szükséges, amelyet a rosszindulatú program kihasznál a támadás során. A kutatók megjegyzik, hogy a telepítési folyamat a fájlok kicsomagolásáig legitimnek tűnik. Ebben a szakaszban egy nem biztonságos funkció kerül bevezetésre, amely ezután eldobja a SteelFox rendszerre való betöltéséért felelős kódot.
Sebezhető járművezetők kihasználása
Amint a SteelFox rendszergazdai jogosultságokat szerez, telepít egy szolgáltatást, amely a WinRing0.sys-t futtatja, egy sebezhető illesztőprogramot, amely érzékeny a CVE-2020-14979 és CVE-2021-41285 jelekre. Ezek a sérülékenységek lehetővé teszik a rosszindulatú programok számára, hogy az NT/RENDSZER szintre emeljék a jogosultságokat, így biztosítva a legmagasabb szintű hozzáférést a rendszerhez – ami erősebb, mint a rendszergazdai jogok. Ez a hozzáférési szint lehetővé teszi a rosszindulatú programok számára, hogy szabadon manipulálják a rendszer bármely erőforrását vagy folyamatát.
A jogosultságok kiterjesztése mellett a WinRing0.sys illesztőprogramot használják a kriptovaluta bányászatban. Az XMRig bányász része, amely Monero bányászatát végzi. A támadó ennek a bányásznak egy módosított változatát telepíti, amely úgy van konfigurálva, hogy merevkódolt hitelesítő adatokkal csatlakozzon egy bányászati készlethez.
A rosszindulatú program emellett biztonságos kapcsolatot létesít a Command-and-Control (C2) kiszolgálójával az SSL rögzítés és a TLS v1.3 használatával, biztosítva a kommunikáció titkosítását és az elfogás elleni védelmet. Ezenkívül aktivál egy információlopó komponenst, amely tizenhárom webböngészőből gyűjt adatokat, rendszerinformációkat, hálózati adatokat és bármilyen RDP (Remote Desktop Protocol) kapcsolatot. A SteelFox adatokat gyűjthet, beleértve a hitelkártyákat, a böngészési előzményeket és a cookie-kat.
A SteelFox számos ország áldozatait fertőzi meg
Bár a SteelFox által használt C2 tartomány keménykódolt, a támadó elrejti azt azáltal, hogy gyakran változtatja IP-címeit, és a Google nyilvános DNS-en és HTTPS-en (DoH) keresztüli DNS-en keresztül oldja meg azokat. A SteelFox támadások nem konkrét személyeket céloznak meg, de úgy tűnik, elsősorban az AutoCAD, a JetBrains és a Foxit PDF Editor felhasználóit érintik. A rosszindulatú programokat olyan országokban észlelték, mint például Brazília, Kína, Oroszország, Mexikó, az Egyesült Arab Emírségek, Egyiptom, Algéria, Vietnam, India és Srí Lanka.
Annak ellenére, hogy viszonylag új, a SteelFox egy átfogó bűnügyi csomag. A rosszindulatú programok elemzése azt sugallja, hogy fejlesztője jártas a C++ programozásban, és külső könyvtárakat is beépített egy rendkívül hatékony rosszindulatú program létrehozásához.
