Perisian Hasad SteelFox
Pakej mengancam baharu yang dikenali sebagai SteelFox telah ditemui. Ia menyasarkan sistem Windows untuk melombong mata wang kripto dan menuai maklumat kad kredit. Malware menggunakan teknik yang dipanggil 'bawa pemandu anda sendiri yang terdedah' untuk meningkatkan keistimewaan ke tahap SISTEM, membolehkannya memintas langkah keselamatan.
Malware ini disebarkan terutamanya melalui forum dan tapak torrent, di mana ia menyamar sebagai alat retak yang mengaktifkan perisian yang sah seperti Foxit PDF Editor, JetBrains dan AutoCAD. Penggunaan pemandu yang terdedah untuk peningkatan keistimewaan ialah taktik yang biasanya dikaitkan dengan pelakon ancaman dan kumpulan perisian tebusan tajaan kerajaan. Namun, ia kini nampaknya diterima pakai oleh kempen perisian hasad yang mengumpul maklumat juga.
Penyelidik mula-mula mengenal pasti operasi SteelFox pada bulan Ogos, walaupun mereka menyatakan bahawa perisian hasad itu telah aktif sejak Februari 2023. Pengedarannya telah meningkat sejak beberapa bulan kebelakangan ini melalui pelbagai saluran, termasuk torrents, blog dan siaran forum.
Isi kandungan
Jangkitan SteelFox dan Peningkatan Keistimewaan
Laporan menunjukkan bahawa siaran yang mempromosikan penitis perisian hasad SteelFox selalunya menyertakan arahan terperinci tentang cara mengaktifkan perisian secara haram. Sebagai contoh, satu siaran sedemikian menawarkan panduan langkah demi langkah tentang cara mengaktifkan JetBrains. Walaupun penitis melakukan fungsi yang diiklankan untuk mengaktifkan perisian, pengguna secara tidak sengaja menjangkiti sistem mereka dengan perisian hasad dalam proses.
Memandangkan perisian yang disasarkan biasanya dipasang dalam Fail Program, menambah retak memerlukan akses peringkat pentadbir, yang memanfaatkan perisian hasad semasa serangannya. Penyelidik ambil perhatian bahawa proses pemasangan kelihatan sah sehingga titik di mana fail dibongkar. Pada peringkat itu, fungsi tidak selamat diperkenalkan, yang kemudiannya menggugurkan kod yang bertanggungjawab untuk memuatkan SteelFox ke dalam sistem.
Mengeksploitasi Pemandu Terdedah
Setelah SteelFox mendapat keistimewaan pentadbiran, ia memasang perkhidmatan yang menjalankan WinRing0.sys, pemacu yang terdedah yang terdedah kepada CVE-2020-14979 dan CVE-2021-41285. Kerentanan ini membenarkan perisian hasad meningkatkan keistimewaan ke peringkat NT/SYSTEM, memberikannya tahap akses tertinggi kepada sistem—lebih kuat daripada hak pentadbir. Tahap capaian ini membolehkan perisian hasad memanipulasi sebarang sumber sistem atau proses secara bebas.
Sebagai tambahan kepada peningkatan keistimewaan, pemacu WinRing0.sys digunakan dalam perlombongan mata wang kripto. Ia adalah sebahagian daripada pelombong XMRig , yang melombong Monero. Penyerang menggunakan versi pengubahsuaian pelombong ini, dikonfigurasikan untuk menyambung ke kolam perlombongan dengan bukti kelayakan berkod keras.
Perisian hasad juga mewujudkan sambungan selamat dengan pelayan Command-and-Control (C2) menggunakan penyematan SSL dan TLS v1.3, memastikan komunikasi disulitkan dan dilindungi daripada pemintasan. Selain itu, ia mengaktifkan komponen pencuri maklumat yang mengumpul data daripada tiga belas pelayar Web, maklumat sistem, butiran rangkaian dan sebarang sambungan RDP (Remote Desktop Protocol). SteelFox boleh menuai data, termasuk kad kredit, sejarah penyemakan imbas dan kuki.
SteelFox Menjangkiti Mangsa dari Banyak Negara
Walaupun domain C2 yang digunakan oleh SteelFox berkod keras, penyerang menyembunyikannya dengan kerap menukar alamat IPnya dan menyelesaikannya melalui DNS Awam Google dan DNS melalui HTTPS (DoH). Serangan SteelFox tidak menyasarkan individu tertentu tetapi nampaknya memberi kesan terutamanya kepada pengguna AutoCAD, JetBrains dan Foxit PDF Editor. Malware telah diperhatikan menjejaskan sistem di negara seperti Brazil, China, Rusia, Mexico, UAE, Mesir, Algeria, Vietnam, India dan Sri Lanka.
Walaupun agak baru, SteelFox ialah pakej perisian jenayah yang komprehensif. Analisis perisian hasad mencadangkan bahawa pembangunnya mahir dalam pengaturcaraan C++ dan telah menggabungkan perpustakaan luaran untuk mencipta perisian hasad yang sangat berkesan.
