SteelFox skadelig programvare
En ny trusselpakke kjent som SteelFox har blitt oppdaget. Den retter seg mot Windows-systemer for å utvinne kryptovaluta og innhente kredittkortinformasjon. Skadevaren bruker en teknikk kalt "ta med din egen sårbare sjåfør" for å eskalere privilegier til SYSTEM-nivå, slik at den kan omgå sikkerhetstiltak.
Skadevaren spres først og fremst gjennom fora og torrent-nettsteder, der den utgir seg som et crack-verktøy som aktiverer legitim programvare som Foxit PDF Editor, JetBrains og AutoCAD. Bruken av sårbare drivere for privilegieeskalering er en taktikk som vanligvis forbindes med statsstøttede trusselaktører og løsepengevaregrupper. Likevel ser det nå ut til å bli tatt i bruk av informasjonsinnhentende malware-kampanjer også.
Forskere identifiserte SteelFox-operasjonen først i august, selv om de bemerket at skadelig programvare har vært aktiv siden februar 2023. Distribusjonen har økt de siste månedene gjennom ulike kanaler, inkludert torrenter, blogger og foruminnlegg.
Innholdsfortegnelse
SteelFox-infeksjon og privilegie-eskalering
Rapporter indikerer at innlegg som promoterer SteelFox malware dropper ofte inkluderer detaljerte instruksjoner om hvordan du aktiverer programvare ulovlig. Et slikt innlegg tilbyr for eksempel trinn-for-trinn-veiledning om hvordan du aktiverer JetBrains. Mens dropperen utfører den annonserte funksjonen med å aktivere programvaren, infiserer brukere utilsiktet systemene sine med skadelig programvare i prosessen.
Siden den målrettede programvaren vanligvis er installert i programfilene, krever det å legge til crack-tilgang på administratornivå, som skadelig programvare utnytter under angrepet. Forskere bemerker at installasjonsprosessen virker legitim frem til det punktet hvor filene pakkes ut. På det stadiet introduseres en usikker funksjon, som deretter slipper koden som er ansvarlig for å laste SteelFox inn i systemet.
Utnyttelse av sårbare sjåfører
Når SteelFox får administrative rettigheter, installerer den en tjeneste som kjører WinRing0.sys, en sårbar driver som er mottakelig for CVE-2020-14979 og CVE-2021-41285. Disse sårbarhetene tillater skadelig programvare å eskalere privilegier til NT/SYSTEM-nivå, og gir den det høyeste nivået av tilgang til systemet – mer potent enn administratorrettigheter. Dette tilgangsnivået gjør at skadelig programvare kan manipulere enhver systemressurs eller prosess fritt.
I tillegg til privilegieeskalering, brukes WinRing0.sys-driveren i gruvedrift av kryptovaluta. Det er en del av XMRig -gruvearbeideren, som utvinner Monero. Angriperen distribuerer en modifisert versjon av denne gruvearbeideren, konfigurert til å koble til et gruvebasseng med hardkodet legitimasjon.
Skadevaren etablerer også en sikker forbindelse med Command-and-Control-serveren (C2) ved hjelp av SSL-pinning og TLS v1.3, og sikrer at kommunikasjon er kryptert og skjermet mot avskjæring. I tillegg aktiverer den en info-stealer-komponent som samler inn data fra tretten nettlesere, systeminformasjon, nettverksdetaljer og eventuelle RDP-forbindelser (Remote Desktop Protocol). SteelFox kan samle inn data, inkludert kredittkort, nettleserhistorikk og informasjonskapsler.
SteelFox infiserer ofre fra en rekke land
Selv om C2-domenet som brukes av SteelFox er hardkodet, skjuler angriperen det ved å ofte endre IP-adressene og løse dem gjennom Google Public DNS og DNS over HTTPS (DoH). SteelFox-angrep retter seg ikke mot spesifikke individer, men ser først og fremst ut til å påvirke brukere av AutoCAD, JetBrains og Foxit PDF Editor. Skadevaren har blitt observert som kompromitterende systemer i land som Brasil, Kina, Russland, Mexico, UAE, Egypt, Algerie, Vietnam, India og Sri Lanka.
Til tross for at det er relativt nytt, er SteelFox en omfattende kriminalitetspakke. Malware-analyse tyder på at utvikleren er dyktig i C++-programmering og har innlemmet eksterne biblioteker for å lage et svært effektivt stykke skadelig programvare.
