SteelFox-malware
Er is een nieuw bedreigend pakket ontdekt dat bekend staat als SteelFox. Het richt zich op Windows-systemen om cryptocurrency te minen en creditcardgegevens te verzamelen. De malware gebruikt een techniek genaamd 'bring your own vulnerable driver' om privileges te verhogen naar het SYSTEM-niveau, waardoor het beveiligingsmaatregelen kan omzeilen.
De malware wordt voornamelijk verspreid via forums en torrentsites, waar het zich voordoet als een cracktool die legitieme software activeert zoals Foxit PDF Editor, JetBrains en AutoCAD. Het gebruik van kwetsbare drivers voor privilege-escalatie is een tactiek die vaak wordt geassocieerd met door de staat gesponsorde bedreigingsactoren en ransomwaregroepen. Toch lijkt het nu ook te worden overgenomen door malwarecampagnes die informatie verzamelen.
Onderzoekers identificeerden de SteelFox-operatie voor het eerst in augustus, hoewel ze opmerkten dat de malware al sinds februari 2023 actief is. De distributie ervan is de afgelopen maanden toegenomen via verschillende kanalen, waaronder torrents, blogs en forumposts.
Inhoudsopgave
SteelFox-infectie en privilege-escalatie
Rapporten geven aan dat posts die de SteelFox malware dropper promoten vaak gedetailleerde instructies bevatten over hoe je software illegaal kunt activeren. Zo biedt een van die posts stapsgewijze instructies over hoe je JetBrains activeert. Hoewel de dropper de geadverteerde functie van het activeren van de software uitvoert, infecteren gebruikers onbedoeld hun systemen met malware.
Omdat de beoogde software doorgaans in de Program Files wordt geïnstalleerd, is voor het toevoegen van de crack toegang op beheerdersniveau vereist, wat de malware tijdens zijn aanval benut. Onderzoekers merken op dat het installatieproces legitiem lijkt tot het moment dat de bestanden worden uitgepakt. In dat stadium wordt een onveilige functie geïntroduceerd, die vervolgens de code die verantwoordelijk is voor het laden van SteelFox op het systeem plaatst.
Kwetsbare drivers uitbuiten
Zodra SteelFox beheerdersrechten krijgt, installeert het een service die WinRing0.sys uitvoert, een kwetsbare driver die vatbaar is voor CVE-2020-14979 en CVE-2021-41285. Deze kwetsbaarheden stellen de malware in staat om rechten te verhogen naar het NT/SYSTEM-niveau, waardoor het het hoogste toegangsniveau tot het systeem krijgt, krachtiger dan beheerdersrechten. Dit toegangsniveau stelt de malware in staat om elke systeembron of elk proces vrij te manipuleren.
Naast privilege escalation wordt de WinRing0.sys driver gebruikt bij cryptocurrency mining. Het is onderdeel van de XMRig miner, die Monero mined. De aanvaller implementeert een aangepaste versie van deze miner, geconfigureerd om verbinding te maken met een mining pool met hardcoded credentials.
De malware maakt ook een beveiligde verbinding met zijn Command-and-Control (C2) server met behulp van SSL-pinning en TLS v1.3, wat ervoor zorgt dat communicatie gecodeerd is en beschermd tegen onderschepping. Daarnaast activeert het een info-stealer component die data verzamelt van dertien webbrowsers, systeeminformatie, netwerkdetails en alle RDP (Remote Desktop Protocol) verbindingen. SteelFox kan data verzamelen, waaronder creditcards, browsegeschiedenis en cookies.
SteelFox infecteert slachtoffers uit talloze landen
Hoewel het C2-domein dat SteelFox gebruikt hardcoded is, verbergt de aanvaller dit door regelmatig de IP-adressen te wijzigen en deze op te lossen via Google Public DNS en DNS over HTTPS (DoH). SteelFox-aanvallen richten zich niet op specifieke personen, maar lijken voornamelijk gebruikers van AutoCAD, JetBrains en Foxit PDF Editor te treffen. De malware is waargenomen bij het compromitteren van systemen in landen als Brazilië, China, Rusland, Mexico, VAE, Egypte, Algerije, Vietnam, India en Sri Lanka.
Ondanks dat SteelFox relatief nieuw is, is het een uitgebreid crimeware-pakket. Malware-analyse suggereert dat de ontwikkelaar bedreven is in C++-programmering en externe bibliotheken heeft opgenomen om een zeer effectief stuk malware te maken.
