SteelFox Malware

ਸਟੀਲਫੌਕਸ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੇਂ ਧਮਕੀ ਭਰੇ ਪੈਕੇਜ ਦੀ ਖੋਜ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਨੂੰ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਦੀ ਮਾਈਨਿੰਗ ਕਰਨ ਅਤੇ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਦੀ ਜਾਣਕਾਰੀ ਦੀ ਕਟਾਈ ਲਈ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਸਿਸਟਮ ਪੱਧਰ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣ ਲਈ 'ਆਪਣੇ ਖੁਦ ਦੇ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਲਿਆਓ' ਨਾਮਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦਾ ਹੈ।

ਮਾਲਵੇਅਰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਫੋਰਮਾਂ ਅਤੇ ਟੋਰੈਂਟ ਸਾਈਟਾਂ ਰਾਹੀਂ ਫੈਲਦਾ ਹੈ, ਜਿੱਥੇ ਇਹ ਇੱਕ ਕਰੈਕ ਟੂਲ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕਰੇਡ ਹੁੰਦਾ ਹੈ ਜੋ ਕਿ Foxit PDF Editor, JetBrains ਅਤੇ AutoCAD ਵਰਗੇ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਰਗਰਮ ਕਰਦਾ ਹੈ। ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਲਈ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਦੀ ਵਰਤੋਂ ਇੱਕ ਰਣਨੀਤੀ ਹੈ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹਾਂ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ। ਫਿਰ ਵੀ, ਇਹ ਹੁਣ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵਾਲੀਆਂ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਦੁਆਰਾ ਵੀ ਅਪਣਾਇਆ ਜਾਪਦਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਅਗਸਤ ਵਿੱਚ SteelFox ਓਪਰੇਸ਼ਨ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਹਾਲਾਂਕਿ ਉਨ੍ਹਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਮਾਲਵੇਅਰ ਫਰਵਰੀ 2023 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਸਦੀ ਵੰਡ ਹਾਲ ਹੀ ਦੇ ਮਹੀਨਿਆਂ ਵਿੱਚ ਟੋਰੈਂਟ, ਬਲੌਗ ਅਤੇ ਫੋਰਮ ਪੋਸਟਾਂ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਚੈਨਲਾਂ ਰਾਹੀਂ ਤੇਜ਼ੀ ਨਾਲ ਵਧ ਰਹੀ ਹੈ।

ਸਟੀਲਫੌਕਸ ਇਨਫੈਕਸ਼ਨ ਅਤੇ ਪ੍ਰੀਵਿਲੇਜ ਐਸਕੇਲੇਸ਼ਨ

ਰਿਪੋਰਟਾਂ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ ਸਟੀਲਫੌਕਸ ਮਾਲਵੇਅਰ ਡਰਾਪਰ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਵਾਲੀਆਂ ਪੋਸਟਾਂ ਵਿੱਚ ਅਕਸਰ ਇਸ ਬਾਰੇ ਵਿਸਤ੍ਰਿਤ ਨਿਰਦੇਸ਼ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਕਿ ਸੌਫਟਵੇਅਰ ਨੂੰ ਗੈਰ-ਕਾਨੂੰਨੀ ਢੰਗ ਨਾਲ ਕਿਵੇਂ ਸਰਗਰਮ ਕਰਨਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਅਜਿਹੀ ਇੱਕ ਪੋਸਟ JetBrains ਨੂੰ ਕਿਵੇਂ ਸਰਗਰਮ ਕਰਨਾ ਹੈ ਬਾਰੇ ਕਦਮ-ਦਰ-ਕਦਮ ਮਾਰਗਦਰਸ਼ਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਕਿ ਡਰਾਪਰ ਸੌਫਟਵੇਅਰ ਨੂੰ ਐਕਟੀਵੇਟ ਕਰਨ ਦਾ ਇਸ਼ਤਿਹਾਰੀ ਫੰਕਸ਼ਨ ਕਰਦਾ ਹੈ, ਉਪਭੋਗਤਾ ਅਣਜਾਣੇ ਵਿੱਚ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨਾਲ ਆਪਣੇ ਸਿਸਟਮ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦੇ ਹਨ।

ਕਿਉਂਕਿ ਟਾਰਗੇਟਡ ਸੌਫਟਵੇਅਰ ਆਮ ਤੌਰ 'ਤੇ ਪ੍ਰੋਗਰਾਮ ਫਾਈਲਾਂ ਵਿੱਚ ਸਥਾਪਿਤ ਹੁੰਦਾ ਹੈ, ਕਰੈਕ ਨੂੰ ਜੋੜਨ ਲਈ ਪ੍ਰਬੰਧਕ-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜਿਸਦਾ ਮਾਲਵੇਅਰ ਆਪਣੇ ਹਮਲੇ ਦੌਰਾਨ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਖੋਜਕਰਤਾ ਨੋਟ ਕਰਦੇ ਹਨ ਕਿ ਇੰਸਟਾਲੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਉਦੋਂ ਤੱਕ ਜਾਇਜ਼ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ ਜਦੋਂ ਤੱਕ ਫਾਈਲਾਂ ਨੂੰ ਅਨਪੈਕ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਉਸ ਪੜਾਅ 'ਤੇ, ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਫੰਕਸ਼ਨ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਫਿਰ ਸਿਸਟਮ ਉੱਤੇ ਸਟੀਲਫੌਕਸ ਲੋਡ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਕੋਡ ਨੂੰ ਛੱਡ ਦਿੰਦਾ ਹੈ।

ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

ਇੱਕ ਵਾਰ ਜਦੋਂ SteelFox ਨੂੰ ਪ੍ਰਬੰਧਕੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਹੋ ਜਾਂਦੇ ਹਨ, ਤਾਂ ਇਹ ਇੱਕ ਅਜਿਹੀ ਸੇਵਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਜੋ WinRing0.sys ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ, ਇੱਕ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਜੋ CVE-2020-14979 ਅਤੇ CVE-2021-41285 ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹੈ। ਇਹ ਕਮਜ਼ੋਰੀਆਂ ਮਾਲਵੇਅਰ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ NT/SYSTEM ਪੱਧਰ ਤੱਕ ਵਧਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀਆਂ ਹਨ, ਇਸ ਨੂੰ ਸਿਸਟਮ ਤੱਕ ਪਹੁੰਚ ਦਾ ਉੱਚ ਪੱਧਰ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ-ਪ੍ਰਬੰਧਕ ਅਧਿਕਾਰਾਂ ਨਾਲੋਂ ਵਧੇਰੇ ਸ਼ਕਤੀਸ਼ਾਲੀ। ਪਹੁੰਚ ਦਾ ਇਹ ਪੱਧਰ ਮਾਲਵੇਅਰ ਨੂੰ ਕਿਸੇ ਵੀ ਸਿਸਟਮ ਸਰੋਤ ਜਾਂ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸੁਤੰਤਰ ਰੂਪ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਤੋਂ ਇਲਾਵਾ, WinRing0.sys ਡਰਾਈਵਰ ਦੀ ਵਰਤੋਂ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਮਾਈਨਿੰਗ ਵਿੱਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ XMRig ਮਾਈਨਰ ਦਾ ਹਿੱਸਾ ਹੈ, ਜੋ ਮੋਨੇਰੋ ਦੀ ਖਾਣ ਕਰਦਾ ਹੈ। ਹਮਲਾਵਰ ਇਸ ਮਾਈਨਰ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜੋ ਹਾਰਡਕੋਡ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਨਾਲ ਇੱਕ ਮਾਈਨਿੰਗ ਪੂਲ ਨਾਲ ਜੁੜਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਮਾਲਵੇਅਰ SSL ਪਿਨਿੰਗ ਅਤੇ TLS v1.3 ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਇੱਕ ਸੁਰੱਖਿਅਤ ਕਨੈਕਸ਼ਨ ਵੀ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਸੰਚਾਰ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਗਏ ਹਨ ਅਤੇ ਰੁਕਾਵਟ ਤੋਂ ਬਚੇ ਹੋਏ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਇੱਕ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਸਰਗਰਮ ਕਰਦਾ ਹੈ ਜੋ ਤੇਰ੍ਹਾਂ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ, ਸਿਸਟਮ ਜਾਣਕਾਰੀ, ਨੈੱਟਵਰਕ ਵੇਰਵੇ ਅਤੇ ਕਿਸੇ ਵੀ RDP (ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਪ੍ਰੋਟੋਕੋਲ) ਕਨੈਕਸ਼ਨਾਂ ਤੋਂ ਡਾਟਾ ਇਕੱਠਾ ਕਰਦਾ ਹੈ। SteelFox ਕ੍ਰੈਡਿਟ ਕਾਰਡ, ਬ੍ਰਾਊਜ਼ਿੰਗ ਇਤਿਹਾਸ, ਅਤੇ ਕੂਕੀਜ਼ ਸਮੇਤ ਡੇਟਾ ਦੀ ਕਟਾਈ ਕਰ ਸਕਦਾ ਹੈ।

ਸਟੀਲਫੌਕਸ ਕਈ ਦੇਸ਼ਾਂ ਦੇ ਪੀੜਤਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦਾ ਹੈ

ਹਾਲਾਂਕਿ ਸਟੀਲਫੌਕਸ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ C2 ਡੋਮੇਨ ਹਾਰਡਕੋਡ ਕੀਤਾ ਗਿਆ ਹੈ, ਹਮਲਾਵਰ ਇਸਦੇ IP ਪਤਿਆਂ ਨੂੰ ਅਕਸਰ ਬਦਲ ਕੇ ਅਤੇ ਉਹਨਾਂ ਨੂੰ HTTPS (DoH) ਉੱਤੇ Google ਪਬਲਿਕ DNS ਅਤੇ DNS ਦੁਆਰਾ ਹੱਲ ਕਰਕੇ ਇਸਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ। SteelFox ਹਮਲੇ ਖਾਸ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਨਹੀਂ ਬਣਾਉਂਦੇ ਪਰ ਮੁੱਖ ਤੌਰ 'ਤੇ AutoCAD, JetBrains ਅਤੇ Foxit PDF Editor ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਨੂੰ ਬ੍ਰਾਜ਼ੀਲ, ਚੀਨ, ਰੂਸ, ਮੈਕਸੀਕੋ, ਯੂਏਈ, ਮਿਸਰ, ਅਲਜੀਰੀਆ, ਵੀਅਤਨਾਮ, ਭਾਰਤ ਅਤੇ ਸ਼੍ਰੀਲੰਕਾ ਵਰਗੇ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ।

ਮੁਕਾਬਲਤਨ ਨਵਾਂ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਸਟੀਲਫੌਕਸ ਇੱਕ ਵਿਆਪਕ ਕ੍ਰਾਈਮਵੇਅਰ ਪੈਕੇਜ ਹੈ। ਮਾਲਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਣ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਸਦਾ ਵਿਕਾਸਕਰਤਾ C++ ਪ੍ਰੋਗਰਾਮਿੰਗ ਵਿੱਚ ਨਿਪੁੰਨ ਹੈ ਅਤੇ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਬਹੁਤ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹਿੱਸੇ ਨੂੰ ਤਿਆਰ ਕਰਨ ਲਈ ਬਾਹਰੀ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ।