SteelFox skadlig programvara

Ett nytt hotpaket känt som SteelFox har upptäckts. Det riktar sig till Windows-system för att bryta kryptovaluta och samla in kreditkortsinformation. Skadlig programvara använder en teknik som kallas "ta med din egen sårbara förare" för att eskalera privilegier till SYSTEM-nivån, vilket gör att den kan kringgå säkerhetsåtgärder.

Skadlig programvara sprids främst genom forum och torrentsajter, där den maskerar sig som ett crack-verktyg som aktiverar legitim programvara som Foxit PDF Editor, JetBrains och AutoCAD. Användningen av sårbara drivrutiner för privilegieeskalering är en taktik som vanligtvis förknippas med statligt sponsrade hotaktörer och ransomware-grupper. Ändå verkar det nu också antas av informationsinsamlingskampanjer med skadlig kod.

Forskare identifierade SteelFox-operationen först i augusti, även om de noterade att skadlig programvara har varit aktiv sedan februari 2023. Dess distribution har ökat under de senaste månaderna genom olika kanaler, inklusive torrents, bloggar och foruminlägg.

SteelFox-infektion och privilegieupptrappning

Rapporter indikerar att inlägg som marknadsför SteelFox malware dropper ofta innehåller detaljerade instruktioner om hur man aktiverar programvara olagligt. Till exempel erbjuder ett sådant inlägg steg-för-steg-vägledning om hur man aktiverar JetBrains. Medan dropparen utför den annonserade funktionen att aktivera programvaran, infekterar användare oavsiktligt sina system med skadlig programvara i processen.

Eftersom den riktade programvaran vanligtvis är installerad i programfilerna, kräver att lägga till sprickan åtkomst på administratörsnivå, vilket skadlig programvara utnyttjar under sin attack. Forskare noterar att installationsprocessen verkar legitim fram till den punkt där filerna packas upp. I det skedet introduceras en osäker funktion, som sedan släpper koden som ansvarar för att ladda SteelFox till systemet.

Utnyttja sårbara förare

När SteelFox får administrativa privilegier installerar den en tjänst som kör WinRing0.sys, en sårbar drivrutin som är känslig för CVE-2020-14979 och CVE-2021-41285. Dessa sårbarheter tillåter skadlig programvara att eskalera privilegier till NT/SYSTEM-nivå, vilket ger den den högsta nivån av åtkomst till systemet – mer potent än administratörsrättigheter. Denna åtkomstnivå gör det möjligt för skadlig programvara att manipulera alla systemresurser eller processer fritt.

Förutom privilegieeskalering används WinRing0.sys-drivrutinen vid brytning av kryptovalutor. Det är en del av XMRig -gruvarbetaren, som bryter Monero. Angriparen distribuerar en modifierad version av denna miner, konfigurerad för att ansluta till en gruvpool med hårdkodade autentiseringsuppgifter.

Skadlig programvara upprättar också en säker anslutning till sin Command-and-Control-server (C2) med hjälp av SSL-pinning och TLS v1.3, vilket säkerställer att kommunikationen är krypterad och skyddad från avlyssning. Dessutom aktiverar den en info-stealer-komponent som samlar in data från tretton webbläsare, systeminformation, nätverksdetaljer och eventuella RDP-anslutningar (Remote Desktop Protocol). SteelFox kan samla in data, inklusive kreditkort, webbhistorik och cookies.

SteelFox infekterar offer från många länder

Även om C2-domänen som används av SteelFox är hårdkodad, döljer angriparen den genom att ofta ändra sina IP-adresser och lösa dem via Google Public DNS och DNS över HTTPS (DoH). SteelFox-attacker riktar sig inte mot specifika individer utan verkar främst påverka användare av AutoCAD, JetBrains och Foxit PDF Editor. Skadlig programvara har observerats som äventyrar system i länder som Brasilien, Kina, Ryssland, Mexiko, Förenade Arabemiraten, Egypten, Algeriet, Vietnam, Indien och Sri Lanka.

Trots att det är relativt nytt, är SteelFox ett omfattande paket för brottsprogram. Analys av skadlig programvara tyder på att dess utvecklare är skicklig i C++-programmering och har införlivat externa bibliotek för att skapa en mycket effektiv skadlig programvara.