Zlonamerna programska oprema SteelFox
Odkrit je bil nov grozilni paket, znan kot SteelFox. Cilja na sisteme Windows za rudarjenje kriptovalute in zbiranje podatkov o kreditnih karticah. Zlonamerna programska oprema uporablja tehniko, imenovano "prinesi svoj lasten ranljiv gonilnik", za stopnjevanje privilegijev na raven SISTEMA, kar ji omogoča, da obide varnostne ukrepe.
Zlonamerna programska oprema se v glavnem širi prek forumov in torrent strani, kjer se predstavlja kot orodje za vdor, ki aktivira zakonito programsko opremo, kot so Foxit PDF Editor, JetBrains in AutoCAD. Uporaba ranljivih gonilnikov za stopnjevanje privilegijev je taktika, ki je običajno povezana z akterji groženj, ki jih sponzorira država, in skupinami izsiljevalskih programov. Kljub temu se zdi, da ga zdaj sprejemajo tudi kampanje za zbiranje informacij o zlonamerni programski opremi.
Raziskovalci so operacijo SteelFox prvič identificirali avgusta, čeprav so ugotovili, da je zlonamerna programska oprema aktivna od februarja 2023. Njena distribucija se v zadnjih mesecih povečuje prek različnih kanalov, vključno s torrenti, blogi in objavami na forumih.
Kazalo
Okužba SteelFox in stopnjevanje privilegijev
Poročila kažejo, da objave, ki promovirajo zlonamerno programsko opremo SteelFox, pogosto vključujejo podrobna navodila o tem, kako nezakonito aktivirati programsko opremo. Ena taka objava na primer ponuja navodila po korakih, kako aktivirati JetBrains. Medtem ko dropper izvaja oglaševano funkcijo aktiviranja programske opreme, uporabniki med tem nehote okužijo svoje sisteme z zlonamerno programsko opremo.
Ker je ciljna programska oprema običajno nameščena v programskih datotekah, je za dodajanje razpoke potreben dostop na ravni skrbnika, ki ga zlonamerna programska oprema izkoristi med napadom. Raziskovalci ugotavljajo, da je postopek namestitve videti zakonit do trenutka, ko so datoteke razpakirane. Na tej stopnji se uvede nevarna funkcija, ki nato spusti kodo, odgovorno za nalaganje SteelFoxa v sistem.
Izkoriščanje ranljivih gonilnikov
Ko SteelFox pridobi skrbniške pravice, namesti storitev, ki poganja WinRing0.sys, ranljiv gonilnik, dovzeten za CVE-2020-14979 in CVE-2021-41285. Te ranljivosti omogočajo zlonamerni programski opremi, da poveča privilegije na raven NT/SYSTEM, kar ji podeli najvišjo raven dostopa do sistema – močnejše od skrbniških pravic. Ta raven dostopa omogoča zlonamerni programski opremi, da prosto manipulira s katerim koli sistemskim virom ali procesom.
Poleg eskalacije privilegijev se gonilnik WinRing0.sys uporablja pri rudarjenju kriptovalut. Je del rudarja XMRig , ki rudari Monero. Napadalec uvede spremenjeno različico tega rudarja, ki je konfiguriran za povezavo z rudarskim bazenom s trdo kodiranimi poverilnicami.
Zlonamerna programska oprema prav tako vzpostavi varno povezavo s svojim strežnikom Command-and-Control (C2) z uporabo pripenjanja SSL in TLS v1.3, kar zagotavlja, da je komunikacija šifrirana in zaščitena pred prestrezanjem. Poleg tega aktivira komponento kraje informacij, ki zbira podatke iz trinajstih spletnih brskalnikov, informacije o sistemu, podrobnosti omrežja in morebitne povezave RDP (Remote Desktop Protocol). SteelFox lahko zbira podatke, vključno s kreditnimi karticami, zgodovino brskanja in piškotki.
SteelFox okuži žrtve iz številnih držav
Čeprav je domena C2, ki jo uporablja SteelFox, trdo kodirana, jo napadalec prikriva tako, da pogosto spreminja njene naslove IP in jih razrešuje prek Googlovega javnega DNS in DNS prek HTTPS (DoH). Napadi SteelFox niso usmerjeni na določene posameznike, ampak se zdi, da prizadenejo predvsem uporabnike programov AutoCAD, JetBrains in Foxit PDF Editor. Opazili so, da zlonamerna programska oprema ogroža sisteme v državah, kot so Brazilija, Kitajska, Rusija, Mehika, ZAE, Egipt, Alžirija, Vietnam, Indija in Šrilanka.
Čeprav je SteelFox razmeroma nov, je obsežen paket kriminalne programske opreme. Analiza zlonamerne programske opreme kaže, da njen razvijalec obvlada programiranje C++ in je vključil zunanje knjižnice za izdelavo zelo učinkovitega dela zlonamerne programske opreme.
