SteelFox ļaunprātīga programmatūra
Ir atklāta jauna draudīga pakotne, kas pazīstama kā SteelFox. Tas ir paredzēts Windows sistēmām, lai iegūtu kriptovalūtu un ievāktu kredītkaršu informāciju. Ļaunprātīgā programmatūra izmanto paņēmienu, ko sauc par “savu neaizsargāto draiveri”, lai palielinātu privilēģijas SISTĒMAS līmenī, ļaujot tai apiet drošības pasākumus.
Ļaunprātīga programmatūra galvenokārt tiek izplatīta forumos un torrent vietnēs, kur tā tiek maskēta kā uzlaušanas rīks, kas aktivizē likumīgu programmatūru, piemēram, Foxit PDF Editor, JetBrains un AutoCAD. Neaizsargātu draiveru izmantošana privilēģiju eskalācijai ir taktika, kas parasti tiek saistīta ar valsts sponsorētiem draudu dalībniekiem un izspiedējvīrusu grupām. Tomēr tagad šķiet, ka to izmanto arī ļaunprātīgas programmatūras informācijas vākšanas kampaņas.
Pētnieki pirmo reizi atklāja SteelFox darbību augustā, lai gan viņi atzīmēja, ka ļaunprogrammatūra ir bijusi aktīva kopš 2023. gada februāra. Pēdējo mēnešu laikā tās izplatība ir pieaugusi, izmantojot dažādus kanālus, tostarp straumjus, emuārus un foruma ziņas.
Satura rādītājs
SteelFox infekcija un privilēģiju eskalācija
Pārskati liecina, ka ziņojumos, kuros tiek reklamēts SteelFox ļaunprātīgas programmatūras pilinātājs, bieži ir iekļauti detalizēti norādījumi par to, kā nelegāli aktivizēt programmatūru. Piemēram, vienā no šādām ziņām ir sniegti soli pa solim norādījumi par JetBrains aktivizēšanu. Lai gan pilinātājs veic reklamēto programmatūras aktivizēšanas funkciju, lietotāji šajā procesā netīšām inficē savas sistēmas ar ļaunprātīgu programmatūru.
Tā kā mērķprogrammatūra parasti tiek instalēta programmas failos, plaisas pievienošanai nepieciešama administratora līmeņa piekļuve, ko ļaunprātīga programmatūra izmanto uzbrukuma laikā. Pētnieki atzīmē, ka instalēšanas process šķiet likumīgs līdz brīdim, kad faili tiek izpakoti. Šajā posmā tiek ieviesta nedroša funkcija, kas pēc tam nomet kodu, kas atbild par SteelFox ielādi sistēmā.
Neaizsargātu draiveru izmantošana
Kad SteelFox iegūst administratīvās privilēģijas, tas instalē pakalpojumu, kurā darbojas WinRing0.sys — ievainojams draiveris, kas ir uzņēmīgs pret CVE-2020-14979 un CVE-2021-41285. Šīs ievainojamības ļauj ļaunprātīgai programmatūrai palielināt privilēģijas līdz NT/SYSTEM līmenim, piešķirot tai visaugstākā līmeņa piekļuvi sistēmai, kas ir spēcīgāka nekā administratora tiesības. Šis piekļuves līmenis ļauj ļaunprātīgai programmatūrai brīvi manipulēt ar jebkuru sistēmas resursu vai procesu.
Papildus privilēģiju eskalācijai WinRing0.sys draiveris tiek izmantots kriptovalūtas ieguvē. Tā ir daļa no XMRig kalnrača, kas iegūst Monero. Uzbrucējs izvieto modificētu šī kalnraču versiju, kas konfigurēta, lai izveidotu savienojumu ar ieguves pūlu ar cietā kodiem akreditācijas datiem.
Ļaunprātīga programmatūra arī izveido drošu savienojumu ar savu Command-and-Control (C2) serveri, izmantojot SSL piespraušanu un TLS v1.3, nodrošinot, ka sakari ir šifrēti un pasargāti no pārtveršanas. Turklāt tas aktivizē informācijas nozagšanas komponentu, kas apkopo datus no trīspadsmit tīmekļa pārlūkprogrammām, sistēmas informāciju, tīkla informāciju un visiem RDP (attālās darbvirsmas protokola) savienojumiem. SteelFox var iegūt datus, tostarp kredītkartes, pārlūkošanas vēsturi un sīkfailus.
SteelFox inficē upurus no daudzām valstīm
Lai gan SteelFox izmantotais C2 domēns ir kodēts, uzbrucējs to slēpj, bieži mainot savas IP adreses un atrisinot tās, izmantojot Google publisko DNS un DNS, izmantojot HTTPS (DoH). SteelFox uzbrukumi nav vērsti pret konkrētām personām, bet šķiet, ka tie galvenokārt ietekmē AutoCAD, JetBrains un Foxit PDF redaktora lietotājus. Ļaunprātīga programmatūra ir novērota tādās valstīs kā Brazīlija, Ķīna, Krievija, Meksika, AAE, Ēģipte, Alžīrija, Vjetnama, Indija un Šrilanka.
Neskatoties uz to, ka SteelFox ir salīdzinoši jauna, tā ir visaptveroša noziegumu programmatūras pakotne. Ļaunprātīgas programmatūras analīze liecina, ka tās izstrādātājs pārvalda C++ programmēšanu un ir iekļāvis ārējās bibliotēkas, lai izveidotu ļoti efektīvu ļaunprātīgas programmatūras daļu.
