Oprogramowanie złośliwe SteelFox
Odkryto nowy, groźny pakiet znany jako SteelFox. Ma on na celu systemy Windows w celu wydobywania kryptowaluty i zbierania informacji o kartach kredytowych. Malware wykorzystuje technikę zwaną „bring your own vulnerable driver” w celu eskalowania uprawnień do poziomu SYSTEM, co pozwala mu ominąć środki bezpieczeństwa.
Malware rozprzestrzenia się głównie za pośrednictwem forów i stron torrentowych, gdzie podszywa się pod narzędzie crack, które aktywuje legalne oprogramowanie, takie jak Foxit PDF Editor, JetBrains i AutoCAD. Wykorzystanie podatnych sterowników do eskalacji uprawnień to taktyka powszechnie kojarzona z państwowymi podmiotami zagrażającymi i grupami ransomware. Mimo to wydaje się, że jest ona obecnie przyjmowana również przez kampanie malware zbierające informacje.
Badacze po raz pierwszy zidentyfikowali operację SteelFox w sierpniu, chociaż zauważyli, że złośliwe oprogramowanie jest aktywne od lutego 2023 r. Jego dystrybucja wzrosła w ostatnich miesiącach za pośrednictwem różnych kanałów, w tym torrentów, blogów i postów na forach.
Spis treści
Zakażenie SteelFox i eskalacja uprawnień
Raporty wskazują, że posty promujące dropper złośliwego oprogramowania SteelFox często zawierają szczegółowe instrukcje, jak nielegalnie aktywować oprogramowanie. Na przykład jeden z takich postów oferuje wskazówki krok po kroku, jak aktywować JetBrains. Podczas gdy dropper wykonuje reklamowaną funkcję aktywacji oprogramowania, użytkownicy nieświadomie infekują swoje systemy złośliwym oprogramowaniem w trakcie tego procesu.
Ponieważ oprogramowanie docelowe jest zazwyczaj instalowane w Program Files, dodanie cracka wymaga dostępu na poziomie administratora, który malware wykorzystuje podczas ataku. Badacze zauważają, że proces instalacji wydaje się legalny do momentu rozpakowania plików. Na tym etapie wprowadzana jest niebezpieczna funkcja, która następnie upuszcza kod odpowiedzialny za załadowanie SteelFox do systemu.
Wykorzystywanie podatnych sterowników
Gdy SteelFox uzyska uprawnienia administracyjne, instaluje usługę, która uruchamia WinRing0.sys, podatny sterownik podatny na CVE-2020-14979 i CVE-2021-41285. Te luki pozwalają złośliwemu oprogramowaniu na eskalację uprawnień do poziomu NT/SYSTEM, przyznając mu najwyższy poziom dostępu do systemu — potężniejszy niż uprawnienia administratora. Ten poziom dostępu umożliwia złośliwemu oprogramowaniu swobodne manipulowanie dowolnym zasobem lub procesem systemowym.
Oprócz eskalacji uprawnień sterownik WinRing0.sys jest używany w kopaniu kryptowalut. Jest częścią koparki XMRig , która wydobywa Monero. Atakujący wdraża zmodyfikowaną wersję tej koparki, skonfigurowaną do łączenia się z pulą wydobywczą z zakodowanymi na stałe danymi uwierzytelniającymi.
Malware nawiązuje również bezpieczne połączenie z serwerem Command-and-Control (C2) za pomocą przypinania SSL i TLS v1.3, zapewniając szyfrowanie komunikacji i ochronę przed przechwyceniem. Ponadto aktywuje komponent info-stealer, który zbiera dane z trzynastu przeglądarek internetowych, informacje o systemie, szczegóły sieciowe i wszelkie połączenia RDP (Remote Desktop Protocol). SteelFox może zbierać dane, w tym karty kredytowe, historię przeglądania i pliki cookie.
SteelFox zaraża ofiary z wielu krajów
Chociaż domena C2 używana przez SteelFox jest zakodowana na stałe, atakujący ukrywa ją, często zmieniając adresy IP i rozwiązując je za pomocą Google Public DNS i DNS over HTTPS (DoH). Ataki SteelFox nie są skierowane do konkretnych osób, ale wydają się dotyczyć przede wszystkim użytkowników AutoCAD, JetBrains i Foxit PDF Editor. Zaobserwowano, że złośliwe oprogramowanie narusza systemy w takich krajach jak Brazylia, Chiny, Rosja, Meksyk, ZEA, Egipt, Algieria, Wietnam, Indie i Sri Lanka.
Pomimo tego, że jest stosunkowo nowy, SteelFox jest kompleksowym pakietem crimeware. Analiza złośliwego oprogramowania sugeruje, że jego twórca jest biegły w programowaniu w C++ i włączył zewnętrzne biblioteki, aby stworzyć wysoce skuteczny kawałek złośliwego oprogramowania.
