Škodlivý softvér SteelFox
Bol objavený nový hrozivý balík známy ako SteelFox. Zameriava sa na systémy Windows na ťažbu kryptomien a získavanie informácií o kreditných kartách. Malvér využíva techniku nazvanú „prines si vlastný zraniteľný ovládač“ na postúpenie privilégií na úroveň SYSTÉMU, čo mu umožňuje obísť bezpečnostné opatrenia.
Malvér sa šíri predovšetkým prostredníctvom fór a torrentových stránok, kde sa maskuje ako crackovací nástroj, ktorý aktivuje legitímny softvér ako Foxit PDF Editor, JetBrains a AutoCAD. Používanie zraniteľných ovládačov na eskaláciu privilégií je taktika bežne spájaná so štátom sponzorovanými hrozbami a skupinami ransomvéru. Zdá sa však, že ho teraz prijali aj kampane na zhromažďovanie informácií o malvéri.
Výskumníci prvýkrát identifikovali operáciu SteelFox v auguste, hoci poznamenali, že malvér je aktívny od februára 2023. Jeho distribúcia sa v posledných mesiacoch zvyšuje prostredníctvom rôznych kanálov, vrátane torrentov, blogov a príspevkov na fórach.
Obsah
Infekcia SteelFox a eskalácia privilégií
Správy naznačujú, že príspevky propagujúce kvapkadlo škodlivého softvéru SteelFox často obsahujú podrobné pokyny, ako nelegálne aktivovať softvér. Napríklad jeden takýto príspevok ponúka podrobné pokyny, ako aktivovať JetBrains. Zatiaľ čo kvapkadlo vykonáva inzerovanú funkciu aktivácie softvéru, používatelia počas tohto procesu neúmyselne infikujú svoje systémy škodlivým softvérom.
Keďže cieľový softvér je zvyčajne nainštalovaný v programových súboroch, pridanie cracku vyžaduje prístup na úrovni správcu, ktorý malvér využíva počas svojho útoku. Výskumníci poznamenávajú, že proces inštalácie sa javí ako legitímny až do bodu, keď sú súbory rozbalené. V tomto štádiu je zavedená nebezpečná funkcia, ktorá potom vypustí kód zodpovedný za načítanie SteelFoxu do systému.
Zneužívanie zraniteľných ovládačov
Keď SteelFox získa oprávnenia správcu, nainštaluje službu, ktorá spúšťa WinRing0.sys, zraniteľný ovládač náchylný na CVE-2020-14979 a CVE-2021-41285. Tieto zraniteľnosti umožňujú malvéru eskalovať privilégiá na úroveň NT/SYSTEM, čím mu poskytujú najvyššiu úroveň prístupu do systému – účinnejšiu ako práva správcu. Táto úroveň prístupu umožňuje malvéru voľne manipulovať s akýmkoľvek systémovým prostriedkom alebo procesom.
Okrem eskalácie privilégií sa pri ťažbe kryptomien používa ovládač WinRing0.sys. Je súčasťou baníka XMRig , ktorý ťaží Monero. Útočník nasadí upravenú verziu tohto baníka, nakonfigurovanú na pripojenie k ťažobnej oblasti s pevne zakódovanými povereniami.
Malvér tiež vytvára bezpečné spojenie so svojím serverom Command-and-Control (C2) pomocou pripínania SSL a TLS v1.3, čím zaisťuje, že komunikácia je šifrovaná a chránená pred odpočúvaním. Okrem toho aktivuje komponent info-stealer, ktorý zhromažďuje údaje z trinástich webových prehliadačov, systémové informácie, podrobnosti o sieti a všetky pripojenia RDP (Remote Desktop Protocol). SteelFox dokáže zbierať dáta, vrátane kreditných kariet, histórie prehliadania a cookies.
SteelFox infikuje obete z mnohých krajín
Aj keď je doména C2 používaná SteelFoxom napevno zakódovaná, útočník ju zatajuje častou zmenou jej IP adries a ich vyriešením cez Google Public DNS a DNS cez HTTPS (DoH). Útoky SteelFox nie sú zamerané na konkrétnych jednotlivcov, ale zdá sa, že primárne ovplyvňujú používateľov AutoCAD, JetBrains a Foxit PDF Editor. Malvér bol pozorovaný pri kompromitovaní systémov v krajinách ako Brazília, Čína, Rusko, Mexiko, Spojené arabské emiráty, Egypt, Alžírsko, Vietnam, India a Srí Lanka.
Napriek tomu, že je relatívne nový, SteelFox je komplexný kriminálny balík. Analýza škodlivého softvéru naznačuje, že jeho vývojár ovláda programovanie v jazyku C++ a začlenil externé knižnice na vytvorenie vysoko efektívneho škodlivého softvéru.
