다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 SteelFox 맬웨어

SteelFox 맬웨어

멀웨어년에 Mezo 년까지
번역 :
한국어

SteelFox라는 새로운 위협적인 패키지가 발견되었습니다. Windows 시스템을 대상으로 암호화폐를 채굴하고 신용 카드 정보를 수집합니다. 이 맬웨어는 'Bring Your Own Vulnerable Driver'라는 기술을 사용하여 권한을 SYSTEM 수준으로 확대하여 보안 조치를 우회할 수 있습니다.

이 맬웨어는 주로 포럼과 토렌트 사이트를 통해 확산되며, Foxit PDF Editor, JetBrains, AutoCAD와 같은 합법적인 소프트웨어를 활성화하는 크랙 도구로 위장합니다. 취약한 드라이버를 사용하여 권한을 상승시키는 것은 국가가 지원하는 위협 행위자와 랜섬웨어 그룹과 일반적으로 연관되는 전술입니다. 하지만 지금은 정보 수집 맬웨어 캠페인에서도 채택되는 것으로 보입니다.

연구원들은 8월에 처음으로 SteelFox 작전을 확인했지만, 이 맬웨어는 2023년 2월부터 활동하고 있다고 지적했습니다. 토런트, 블로그, 포럼 게시물을 포함한 다양한 채널을 통해 최근 몇 달 동안 배포가 급증했습니다.

SteelFox 감염 및 권한 상승

보고서에 따르면 SteelFox 맬웨어 드로퍼를 홍보하는 게시물에는 종종 불법적으로 소프트웨어를 활성화하는 방법에 대한 자세한 지침이 포함되어 있습니다. 예를 들어, 그러한 게시물 중 하나는 JetBrains를 활성화하는 방법에 대한 단계별 지침을 제공합니다. 드로퍼는 소프트웨어를 활성화하는 광고된 기능을 수행하지만, 사용자는 실수로 그 과정에서 시스템에 맬웨어를 감염시킵니다.

대상 소프트웨어는 일반적으로 Program Files에 설치되므로 크랙을 추가하려면 관리자 수준의 액세스가 필요하며, 맬웨어는 공격 중에 이를 활용합니다. 연구자들은 설치 프로세스가 파일이 압축 해제되는 지점까지는 합법적인 것처럼 보인다고 지적합니다. 그 단계에서 안전하지 않은 기능이 도입되고, 그러면 SteelFox를 시스템에 로드하는 코드가 삭제됩니다.

취약한 드라이버 악용

SteelFox가 관리자 권한을 얻으면 CVE-2020-14979 및 CVE-2021-41285에 취약한 드라이버인 WinRing0.sys를 실행하는 서비스를 설치합니다. 이러한 취약성을 통해 맬웨어는 권한을 NT/SYSTEM 수준으로 상승시켜 시스템에 대한 최고 수준의 액세스 권한을 부여할 수 있습니다. 관리자 권한보다 더 강력합니다. 이 수준의 액세스를 통해 맬웨어는 모든 시스템 리소스나 프로세스를 자유롭게 조작할 수 있습니다.

권한 상승 외에도 WinRing0.sys 드라이버는 암호화폐 채굴에 사용됩니다. Monero를 채굴하는 XMRig 마이너의 일부입니다. 공격자는 하드코딩된 자격 증명으로 채굴 풀에 연결하도록 구성된 이 마이너의 수정된 버전을 배포합니다.

이 맬웨어는 또한 SSL 고정 및 TLS v1.3을 사용하여 C2(Command-and-Control) 서버와 보안 연결을 설정하여 통신이 암호화되고 가로채기로부터 보호되도록 합니다. 또한 13개의 웹 브라우저, 시스템 정보, 네트워크 세부 정보 및 모든 RDP(Remote Desktop Protocol) 연결에서 데이터를 수집하는 정보 도용 구성 요소를 활성화합니다. SteelFox는 신용 카드, 검색 기록 및 쿠키를 포함한 데이터를 수집할 수 있습니다.

SteelFox는 여러 국가의 피해자를 감염시킵니다

SteelFox가 사용하는 C2 도메인은 하드코딩되어 있지만 공격자는 IP 주소를 자주 변경하고 Google Public DNS와 DNS over HTTPS(DoH)를 통해 이를 해결하여 이를 숨깁니다. SteelFox 공격은 특정 개인을 대상으로 하지 않지만 주로 AutoCAD, JetBrains 및 Foxit PDF Editor 사용자에게 영향을 미치는 것으로 보입니다. 이 맬웨어는 브라질, 중국, 러시아, 멕시코, UAE, 이집트, 알제리, 베트남, 인도 및 스리랑카와 같은 국가의 시스템을 침해하는 것으로 관찰되었습니다.

SteelFox는 비교적 새로운 소프트웨어이지만 포괄적인 크라임웨어 패키지입니다. 맬웨어 분석에 따르면 개발자는 C++ 프로그래밍에 능숙하며 외부 라이브러리를 통합하여 매우 효과적인 맬웨어를 만들어냈습니다.

트렌드

Giggle Virus Pop-up

멀웨어
기기를 멀웨어로부터 보호하는 것이 그 어느 때보다 중요합니다. 정교한 위협이 증가함에 따라 보안에 단 한 번만 실수해도 개인 정보가 침해되거나 시스템에 심각한 피해가 발생할 수 있습니다. 주목을 받고 있는 그러한 위협 중 하나는 Giggle Virus입니다. 이는 트로이 목마 기반 활동과 관련된 멀웨어의 한 형태로, 컴퓨터에 조용히 침투하여 데이터를...

비즈니스 이메일을 위한 보안 토큰은 오래된 이메일 사기입니다.

피싱, 스팸
정교한 온라인 위협이 증가함에 따라, 웹을 탐색하거나 이메일을 확인할 때 사용자가 조심하는 것이 그 어느 때보다 중요합니다. 안전하지 않은 링크나 첨부 파일을 잘못 클릭하면 민감한 정보가 노출되거나 전체 시스템이 손상될 수 있습니다. '비즈니스 이메일용 보안 토큰이 오래되었습니다' 피싱 사기와 같은 피싱 이메일 사기는 끊임없는 경계가 필요하다는 것을 보여줍니다. '비즈니스 이메일용 보안 토큰이 오래되었습니다' 사기란 무엇입니까? '비즈니스 이메일용 보안 토큰이 오래됨' 사기는 사용자를 속여 이메일 로그인 자격 증명을 제공하도록 만든 피싱 사기입니다. 이러한 이메일에서 피해자는 비즈니스 이메일의 보안 토큰이 만료되었으며 업데이트되지 않으면 이메일 계정이 메일...

Coinbase ($COIN) 에어드랍 사기

불량 웹사이트
사용자는 온라인 전술에 걸리지 않기 위해 신중하고 경계해야 합니다. 사이버 범죄자는 인기 있는 플랫폼과 기술을 악용하여 의심하지 않는 개인을 표적으로 삼는 경우가 많으므로 사용자는 온라인에서 접하는 것의 진위 여부를 비판적으로 평가하는 것이 필수적입니다. 그러한 악의적인 계획 중 하나는 신뢰할 수 있는 암호화폐 거래소인 Coinbase와 관련된...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
76,493
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
63,356
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...