Malware SteelFox
Un nou pachet amenințător cunoscut sub numele de SteelFox a fost descoperit. Acesta vizează sistemele Windows pentru a extrage criptomonede și a colecta informații despre cardul de credit. Malware-ul utilizează o tehnică numită „aduceți propriul șofer vulnerabil” pentru a escalada privilegiile la nivelul SISTEM, permițându-i să ocolească măsurile de securitate.
Malware-ul este răspândit în principal prin forumuri și site-uri de torrent, unde se preface ca un instrument de crack care activează software-ul legitim precum Foxit PDF Editor, JetBrains și AutoCAD. Utilizarea de drivere vulnerabile pentru escaladarea privilegiilor este o tactică asociată în mod obișnuit cu actorii de amenințări și grupurile de ransomware sponsorizate de stat. Totuși, acum pare să fie adoptat și de campaniile de colectare de informații malware.
Cercetătorii au identificat pentru prima dată operațiunea SteelFox în august, deși au remarcat că malware-ul este activ din februarie 2023. Distribuția sa a crescut în ultimele luni prin diferite canale, inclusiv torrente, bloguri și postări pe forum.
Cuprins
Infecția SteelFox și escaladarea privilegiilor
Rapoartele indică faptul că postările care promovează dropperul de malware SteelFox includ adesea instrucțiuni detaliate despre cum să activați software-ul în mod ilegal. De exemplu, o astfel de postare oferă îndrumări pas cu pas despre cum să activați JetBrains. În timp ce dropperul îndeplinește funcția promovată de activare a software-ului, utilizatorii își infectează din neatenție sistemele cu malware în acest proces.
Deoarece software-ul vizat este de obicei instalat în fișierele de program, adăugarea crack-ului necesită acces la nivel de administrator, pe care malware-ul îl folosește în timpul atacului său. Cercetătorii observă că procesul de instalare pare legitim până la punctul în care fișierele sunt despachetate. În această etapă, este introdusă o funcție nesigură, care apoi aruncă codul responsabil pentru încărcarea SteelFox în sistem.
Exploatarea șoferilor vulnerabili
Odată ce SteelFox obține privilegii administrative, instalează un serviciu care rulează WinRing0.sys, un driver vulnerabil susceptibil la CVE-2020-14979 și CVE-2021-41285. Aceste vulnerabilități permit malware-ului să escaladeze privilegiile la nivelul NT/SYSTEM, acordându-i cel mai înalt nivel de acces la sistem - mai puternic decât drepturile de administrator. Acest nivel de acces permite malware-ului să manipuleze liber orice resursă de sistem sau proces.
În plus față de escaladarea privilegiilor, driverul WinRing0.sys este utilizat în minarea criptomonedei. Face parte din minerul XMRig , care extrage Monero. Atacatorul implementează o versiune modificată a acestui miner, configurată să se conecteze la un pool de minerit cu acreditări hardcoded.
Malware-ul stabilește, de asemenea, o conexiune sigură cu serverul său Command-and-Control (C2) utilizând fixarea SSL și TLS v1.3, asigurându-se că comunicațiile sunt criptate și protejate împotriva interceptării. În plus, activează o componentă de furt de informații care colectează date de la treisprezece browsere web, informații despre sistem, detalii de rețea și orice conexiuni RDP (Remote Desktop Protocol). SteelFox poate colecta date, inclusiv carduri de credit, istoric de navigare și cookie-uri.
SteelFox infectează victime din numeroase țări
Deși domeniul C2 folosit de SteelFox este codificat, atacatorul îl ascunde schimbându-și frecvent adresele IP și rezolvându-le prin Google Public DNS și DNS over HTTPS (DoH). Atacurile SteelFox nu vizează anumite persoane, dar par să afecteze în primul rând utilizatorii AutoCAD, JetBrains și Foxit PDF Editor. S-a observat că malware-ul compromite sisteme în țări precum Brazilia, China, Rusia, Mexic, Emiratele Arabe Unite, Egipt, Algeria, Vietnam, India și Sri Lanka.
În ciuda faptului că este relativ nou, SteelFox este un pachet cuprinzător de software criminalistic. Analiza programelor malware sugerează că dezvoltatorul său este competent în programarea C++ și a încorporat biblioteci externe pentru a crea un program malware extrem de eficient.
