Malware SteelFox
Është zbuluar një paketë e re kërcënuese e njohur si SteelFox. Ai synon sistemet Windows për të minuar kriptomonedhën dhe për të mbledhur informacionin e kartës së kreditit. Malware përdor një teknikë të quajtur 'sillni shoferin tuaj të cenueshëm' për të përshkallëzuar privilegjet në nivelin e SISTEMIT, duke e lejuar atë të anashkalojë masat e sigurisë.
Malware është përhapur kryesisht përmes forumeve dhe faqeve torrent, ku maskohet si një mjet i çarjes që aktivizon softuer legjitim si Foxit PDF Editor, JetBrains dhe AutoCAD. Përdorimi i drejtuesve të cenueshëm për përshkallëzimin e privilegjeve është një taktikë që zakonisht lidhet me aktorët e kërcënimit të sponsorizuar nga shteti dhe grupet e ransomware. Megjithatë, tani duket se është miratuar edhe nga fushatat e malware për mbledhjen e informacionit.
Studiuesit fillimisht identifikuan operacionin SteelFox në gusht, megjithëse vunë re se malware ka qenë aktiv që nga shkurti 2023. Shpërndarja e tij është rritur në muajt e fundit përmes kanaleve të ndryshme, duke përfshirë torrentët, bloget dhe postimet në forum.
Tabela e Përmbajtjes
Infeksioni SteelFox dhe përshkallëzimi i privilegjit
Raportet tregojnë se postimet që promovojnë lëshuesin e malware SteelFox shpesh përfshijnë udhëzime të hollësishme se si të aktivizoni softuerin në mënyrë të paligjshme. Për shembull, një postim i tillë ofron udhëzime hap pas hapi se si të aktivizoni JetBrains. Ndërsa pikatori kryen funksionin e reklamuar të aktivizimit të softuerit, përdoruesit infektojnë pa dashje sistemet e tyre me malware gjatë procesit.
Meqenëse softueri i synuar zakonisht instalohet në skedarët e programit, shtimi i çarjes kërkon akses në nivel administratori, të cilin malware e përdor gjatë sulmit të tij. Studiuesit vërejnë se procesi i instalimit duket i ligjshëm deri në pikën ku skedarët janë shpaketuar. Në atë fazë, futet një funksion i pasigurt, i cili më pas hedh kodin përgjegjës për ngarkimin e SteelFox në sistem.
Shfrytëzimi i shoferëve të cenueshëm
Pasi SteelFox fiton privilegje administrative, ai instalon një shërbim që ekzekuton WinRing0.sys, një drejtues i cenueshëm i ndjeshëm ndaj CVE-2020-14979 dhe CVE-2021-41285. Këto dobësi lejojnë që malware të përshkallëzojë privilegjet në nivelin NT/SYSTEM, duke i dhënë atij nivelin më të lartë të aksesit në sistem - më të fuqishëm se të drejtat e administratorit. Ky nivel aksesi i mundëson malware të manipulojë lirisht çdo burim ose proces të sistemit.
Përveç përshkallëzimit të privilegjeve, drejtuesi WinRing0.sys përdoret në minierat e kriptomonedhave. Është pjesë e minatorit XMRig , i cili minon Monero. Sulmuesi vendos një version të modifikuar të këtij minatori, të konfiguruar për t'u lidhur me një grup minierash me kredenciale të koduara.
Malware gjithashtu krijon një lidhje të sigurt me serverin e tij Command-and-Control (C2) duke përdorur pinning SSL dhe TLS v1.3, duke siguruar që komunikimet të jenë të koduara dhe të mbrojtura nga përgjimi. Për më tepër, ai aktivizon një komponent të vjedhësit të informacionit që mbledh të dhëna nga trembëdhjetë shfletues ueb, informacione të sistemit, detaje të rrjetit dhe çdo lidhje RDP (Remote Desktop Protocol). SteelFox mund të mbledhë të dhëna, duke përfshirë kartat e kreditit, historinë e shfletimit dhe cookies.
SteelFox infekton viktima nga vende të shumta
Edhe pse domeni C2 i përdorur nga SteelFox është i koduar, sulmuesi e fsheh atë duke ndryshuar shpesh adresat e tij IP dhe duke i zgjidhur ato përmes Google Public DNS dhe DNS mbi HTTPS (DoH). Sulmet SteelFox nuk synojnë individë të veçantë, por duket se prekin kryesisht përdoruesit e AutoCAD, JetBrains dhe Foxit PDF Editor. Malware është vërejtur duke kompromentuar sisteme në vende të tilla si Brazili, Kina, Rusia, Meksika, Emiratet e Bashkuara Arabe, Egjipti, Algjeria, Vietnami, India dhe Sri Lanka.
Pavarësisht se është relativisht i ri, SteelFox është një paketë gjithëpërfshirëse e krimeve. Analiza e malware sugjeron që zhvilluesi i tij është i aftë në programimin C++ dhe ka inkorporuar biblioteka të jashtme për të krijuar një pjesë shumë efektive të malware.
