Вредоносное ПО SteelFox
Обнаружен новый опасный пакет, известный как SteelFox. Он нацелен на системы Windows для майнинга криптовалюты и сбора информации о кредитных картах. Вредоносная программа использует технику под названием «принеси свой собственный уязвимый драйвер» для повышения привилегий до уровня SYSTEM, что позволяет ей обходить меры безопасности.
Вредоносное ПО в основном распространяется через форумы и торрент-сайты, где оно маскируется под инструмент взлома, который активирует легальное программное обеспечение, такое как Foxit PDF Editor, JetBrains и AutoCAD. Использование уязвимых драйверов для повышения привилегий — это тактика, обычно связанная с спонсируемыми государством субъектами угроз и группами вымогателей. Тем не менее, теперь, похоже, она также используется кампаниями по сбору информации с использованием вредоносного ПО.
Исследователи впервые обнаружили операцию SteelFox в августе, хотя они отметили, что вредоносное ПО было активно с февраля 2023 года. Его распространение активизировалось в последние месяцы по различным каналам, включая торренты, блоги и сообщения на форумах.
Оглавление
Заражение SteelFox и повышение привилегий
Отчеты показывают, что посты, рекламирующие вредоносный дроппер SteelFox, часто включают подробные инструкции о том, как нелегально активировать программное обеспечение. Например, один из таких постов предлагает пошаговое руководство по активации JetBrains. Хотя дроппер действительно выполняет рекламируемую функцию активации программного обеспечения, пользователи непреднамеренно заражают свои системы вредоносным ПО в процессе.
Поскольку целевое ПО обычно устанавливается в Program Files, добавление взлома требует доступа на уровне администратора, который вредоносная программа использует во время своей атаки. Исследователи отмечают, что процесс установки выглядит законным до момента распаковки файлов. На этом этапе вводится небезопасная функция, которая затем сбрасывает код, отвечающий за загрузку SteelFox в систему.
Использование уязвимых драйверов
Получив административные привилегии, SteelFox устанавливает службу, которая запускает WinRing0.sys — уязвимый драйвер, подверженный CVE-2020-14979 и CVE-2021-41285. Эти уязвимости позволяют вредоносному ПО повышать привилегии до уровня NT/SYSTEM, предоставляя ему наивысший уровень доступа к системе — более мощный, чем права администратора. Этот уровень доступа позволяет вредоносному ПО свободно манипулировать любым системным ресурсом или процессом.
Помимо повышения привилегий, драйвер WinRing0.sys используется в майнинге криптовалют. Он является частью майнера XMRig , который добывает Monero. Злоумышленник развертывает модифицированную версию этого майнера, настроенную на подключение к майнинговому пулу с жестко заданными учетными данными.
Вредоносная программа также устанавливает безопасное соединение со своим сервером Command-and-Control (C2) с помощью SSL-закрепления и TLS v1.3, гарантируя, что коммуникации зашифрованы и защищены от перехвата. Кроме того, она активирует компонент похитителя информации, который собирает данные из тринадцати веб-браузеров, системную информацию, сетевые данные и любые соединения RDP (протокол удаленного рабочего стола). SteelFox может собирать данные, включая кредитные карты, историю просмотров и файлы cookie.
SteelFox заражает жертв из многих стран
Хотя домен C2, используемый SteelFox, жестко закодирован, злоумышленник скрывает это, часто меняя свои IP-адреса и разрешая их через Google Public DNS и DNS over HTTPS (DoH). Атаки SteelFox не нацелены на конкретных лиц, но, по-видимому, в первую очередь затрагивают пользователей AutoCAD, JetBrains и Foxit PDF Editor. Вредоносное ПО было замечено в компрометации систем в таких странах, как Бразилия, Китай, Россия, Мексика, ОАЭ, Египет, Алжир, Вьетнам, Индия и Шри-Ланка.
Несмотря на свою относительную новизну, SteelFox представляет собой комплексный пакет мошеннического ПО. Анализ вредоносного ПО показывает, что его разработчик владеет навыками программирования на C++ и включил внешние библиотеки для создания высокоэффективного вредоносного ПО.
