СтеелФок Малваре
Откривен је нови претећи пакет познат као СтеелФок. Циљани су Виндовс системи за рударење криптовалуте и прикупљање информација о кредитној картици. Злонамерни софтвер користи технику која се зове „донесите свој рањиви драјвер“ да ескалира привилегије на ниво СИСТЕМА, омогућавајући му да заобиђе безбедносне мере.
Малвер се првенствено шири преко форума и торрент сајтова, где се маскира као алат за крек који активира легитиман софтвер као што су Фокит ПДФ Едитор, ЈетБраинс и АутоЦАД. Коришћење рањивих драјвера за ескалацију привилегија је тактика која се обично повезује са актерима претњи које спонзорише држава и групама рансомваре-а. Ипак, чини се да је сада усвојен и у кампањама за прикупљање информација о злонамерном софтверу.
Истраживачи су први пут идентификовали операцију СтеелФок у августу, иако су приметили да је злонамерни софтвер активан од фебруара 2023. Његова дистрибуција се последњих месеци појачава кроз различите канале, укључујући торенте, блогове и постове на форумима.
Преглед садржаја
СтеелФок инфекција и ескалација привилегија
Извештаји показују да постови који промовишу СтеелФок малвер дроппер често садрже детаљна упутства о томе како да се софтвер активира илегално. На пример, један такав пост нуди упутства корак по корак о томе како да активирате ЈетБраинс. Док дроппер обавља оглашену функцију активирања софтвера, корисници нехотице инфицирају своје системе малвером у процесу.
Пошто је циљани софтвер обично инсталиран у програмским датотекама, додавање крека захтева приступ на нивоу администратора, који малвер користи током свог напада. Истраживачи примећују да се процес инсталације чини легитимним све до тренутка када се датотеке не распакују. У тој фази се уводи небезбедна функција, која затим испушта код одговоран за учитавање СтеелФок-а у систем.
Искоришћавање рањивих управљачких програма
Када СтеелФок добије административне привилегије, он инсталира услугу која покреће ВинРинг0.сис, рањиви драјвер подложан ЦВЕ-2020-14979 и ЦВЕ-2021-41285. Ове рањивости омогућавају малверу да ескалира привилегије на ниво НТ/СИСТЕМ, дајући му највиши ниво приступа систему – моћнији од администраторских права. Овај ниво приступа омогућава малверу да слободно манипулише било којим системским ресурсом или процесом.
Поред ескалације привилегија, ВинРинг0.сис драјвер се користи у рударењу криптовалута. То је део рудара КСМРиг , који рудари Монеро. Нападач примењује модификовану верзију овог рудара, конфигурисану да се повеже на рударски базен са тврдо кодираним акредитивима.
Злонамерни софтвер такође успоставља безбедну везу са својим сервером за команду и контролу (Ц2) користећи ССЛ качење и ТЛС в1.3, обезбеђујући да су комуникације шифроване и заштићене од пресретања. Поред тога, активира компоненту за крађу информација која прикупља податке из тринаест веб претраживача, системске информације, детаље о мрежи и све РДП (Ремоте Десктоп Протоцол) везе. СтеелФок може прикупити податке, укључујући кредитне картице, историју прегледања и колачиће.
СтеелФок инфицира жртве из бројних земаља
Иако је Ц2 домен који користи СтеелФок чврсто кодиран, нападач га прикрива често мењајући његове ИП адресе и решавајући их преко Гоогле јавног ДНС-а и ДНС-а преко ХТТПС-а (ДоХ). СтеелФок напади не циљају одређене појединце, али изгледа да првенствено утичу на кориснике АутоЦАД-а, ЈетБраинс-а и Фокит ПДФ Едитор-а. Уочено је да злонамерни софтвер компромитује системе у земљама као што су Бразил, Кина, Русија, Мексико, УАЕ, Египат, Алжир, Вијетнам, Индија и Шри Ланка.
Упркос томе што је релативно нов, СтеелФок је свеобухватан пакет софтвера за криминал. Анализа злонамерног софтвера сугерише да је његов програмер вешт у Ц++ програмирању и да је уградио екстерне библиотеке за израду веома ефикасног дела малвера.
