SteelFox मालवेयर
SteelFox भनिने नयाँ धम्कीपूर्ण प्याकेज पत्ता लागेको छ। यसले विन्डोज प्रणालीहरूलाई क्रिप्टोकरेन्सी खान र क्रेडिट कार्ड जानकारी फसल गर्न लक्षित गर्दछ। मालवेयरले 'आफ्नो कमजोर ड्राइभरलाई ल्याउनुहोस्' भन्ने प्रविधिलाई SYSTEM स्तरमा विशेषाधिकारहरू बढाउनको लागि प्रयोग गर्दछ, यसले सुरक्षा उपायहरू बाइपास गर्न अनुमति दिन्छ।
मालवेयर मुख्यतया फोरमहरू र टोरेन्ट साइटहरू मार्फत फैलिएको छ, जहाँ यसले क्र्याक उपकरणको रूपमा मास्करेड गर्दछ जसले Foxit PDF Editor, JetBrains र AutoCAD जस्ता वैध सफ्टवेयर सक्रिय गर्दछ। विशेषाधिकार वृद्धिको लागि कमजोर ड्राइभरहरूको प्रयोग सामान्यतया राज्य-प्रायोजित खतरा अभिनेताहरू र ransomware समूहहरूसँग सम्बन्धित रणनीति हो। अझै, यो अब जानकारी-संकलन मालवेयर अभियानहरू द्वारा पनि अपनाएको देखिन्छ।
शोधकर्ताहरूले पहिलो पटक अगस्टमा SteelFox सञ्चालन पहिचान गरे, यद्यपि तिनीहरूले नोट गरे कि मालवेयर फेब्रुअरी 2023 देखि सक्रिय छ। हालैका महिनाहरूमा यसको वितरण टोरेन्ट, ब्लगहरू, र फोरम पोस्टहरू सहित विभिन्न च्यानलहरू मार्फत बढ्दै गएको छ।
सामग्रीको तालिका
SteelFox संक्रमण र विशेषाधिकार वृद्धि
रिपोर्टहरूले संकेत गर्दछ कि SteelFox मालवेयर ड्रपरलाई बढावा दिने पोस्टहरूमा प्रायः सफ्टवेयर कसरी अवैध रूपमा सक्रिय गर्ने बारे विस्तृत निर्देशनहरू समावेश हुन्छन्। उदाहरणका लागि, एउटा यस्तो पोष्टले JetBrains कसरी सक्रिय गर्ने भन्ने बारे चरण-दर-चरण मार्गदर्शन प्रदान गर्दछ। जबकि ड्रपरले सफ्टवेयर सक्रिय गर्ने विज्ञापित कार्य गर्दछ, प्रयोगकर्ताहरूले अनजाने प्रक्रियामा मालवेयरले तिनीहरूको प्रणालीलाई संक्रमित गर्छन्।
लक्षित सफ्टवेयर सामान्यतया प्रोग्राम फाइलहरूमा स्थापना भएको हुनाले, क्र्याक थप्न प्रशासक-स्तर पहुँच आवश्यक हुन्छ, जुन मालवेयरले यसको आक्रमणको समयमा लिभरेज गर्दछ। अन्वेषकहरूले नोट गरे कि फाइलहरू अनप्याक नभएसम्म स्थापना प्रक्रिया वैध देखिन्छ। त्यस चरणमा, एक असुरक्षित प्रकार्य प्रस्तुत गरिएको छ, जसले त्यसपछि प्रणालीमा SteelFox लोड गर्न जिम्मेवार कोड छोड्छ।
कमजोर चालकहरूको शोषण
SteelFox ले प्रशासनिक विशेषाधिकार प्राप्त गरेपछि, यसले WinRing0.sys चलाउने सेवा स्थापना गर्छ, CVE-2020-14979 र CVE-2021-41285 को लागि संवेदनशील चालक। यी कमजोरीहरूले मालवेयरलाई NT/SYSTEM स्तरमा विशेषाधिकारहरू बढाउन अनुमति दिन्छ, यसले प्रणालीमा पहुँचको उच्चतम स्तर प्रदान गर्दछ — प्रशासक अधिकारहरू भन्दा बढी शक्तिशाली। पहुँचको यो स्तरले मालवेयरलाई कुनै पनि प्रणाली स्रोत वा प्रक्रियालाई स्वतन्त्र रूपमा हेरफेर गर्न सक्षम बनाउँछ।
विशेषाधिकार वृद्धिको अतिरिक्त, WinRing0.sys ड्राइभर क्रिप्टोकरेन्सी माइनिङमा प्रयोग गरिन्छ। यो XMRig माइनरको भाग हो, जसले मोनेरो खानी गर्छ। आक्रमणकारीले यस खानीको परिमार्जित संस्करण प्रयोग गर्दछ, हार्डकोड प्रमाणहरू सहितको खनन पूलमा जडान गर्न कन्फिगर गरिएको।
मालवेयरले SSL पिनिङ र TLS v1.3 को प्रयोग गरेर आफ्नो कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग सुरक्षित जडान पनि स्थापना गर्दछ, संचारहरू इन्क्रिप्टेड र अवरोधबाट सुरक्षित छन् भनी सुनिश्चित गर्दै। थप रूपमा, यसले तेह्र वेब ब्राउजरहरू, प्रणाली जानकारी, नेटवर्क विवरणहरू र कुनै पनि RDP (रिमोट डेस्कटप प्रोटोकल) जडानहरूबाट डाटा सङ्कलन गर्ने जानकारी-चोरी घटक सक्रिय गर्दछ। SteelFox ले क्रेडिट कार्डहरू, ब्राउजिङ इतिहास, र कुकीहरू लगायतका डेटा सङ्कलन गर्न सक्छ।
SteelFox धेरै देशहरूबाट पीडितहरूलाई संक्रमित गर्दछ
यद्यपि SteelFox द्वारा प्रयोग गरिएको C2 डोमेन हार्डकोड गरिएको छ, आक्रमणकारीले बारम्बार यसको IP ठेगानाहरू परिवर्तन गरेर र HTTPS (DoH) मा Google सार्वजनिक DNS र DNS मार्फत समाधान गरेर यसलाई लुकाउँछ। SteelFox आक्रमणहरूले विशिष्ट व्यक्तिहरूलाई लक्षित गर्दैन तर मुख्य रूपमा AutoCAD, JetBrains र Foxit PDF Editor का प्रयोगकर्ताहरूलाई असर गरेको देखिन्छ। ब्राजिल, चीन, रुस, मेक्सिको, युएई, इजिप्ट, अल्जेरिया, भियतनाम, भारत र श्रीलंका जस्ता देशहरूमा मालवेयरले सम्झौता गर्ने प्रणालीहरू भेटिएको छ।
अपेक्षाकृत नयाँ भए तापनि, SteelFox एक व्यापक क्राइमवेयर प्याकेज हो। मालवेयर विश्लेषणले सुझाव दिन्छ कि यसको विकासकर्ता C++ प्रोग्रामिङमा निपुण छ र मालवेयरको अत्यधिक प्रभावकारी टुक्रा बनाउन बाह्य पुस्तकालयहरू समावेश गरेको छ।
