SteelFox Malware

SteelFox எனப்படும் புதிய அச்சுறுத்தும் தொகுப்பு கண்டுபிடிக்கப்பட்டுள்ளது. கிரிப்டோகரன்சி மற்றும் கிரெடிட் கார்டு தகவல்களை அறுவடை செய்ய இது விண்டோஸ் சிஸ்டங்களை குறிவைக்கிறது. SYSTEM நிலைக்கு சிறப்புரிமைகளை அதிகரிக்க, 'உங்கள் சொந்த பாதிக்கப்படக்கூடிய இயக்கியைக் கொண்டு வாருங்கள்' என்ற நுட்பத்தை தீம்பொருள் பயன்படுத்துகிறது, இது பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்க அனுமதிக்கிறது.

தீம்பொருள் முதன்மையாக மன்றங்கள் மற்றும் டொரண்ட் தளங்கள் மூலம் பரவுகிறது, அங்கு இது Foxit PDF Editor, JetBrains மற்றும் AutoCAD போன்ற முறையான மென்பொருளை செயல்படுத்தும் ஒரு கிராக் கருவியாக மாறுகிறது. சலுகை அதிகரிப்புக்கு பாதிக்கப்படக்கூடிய இயக்கிகளைப் பயன்படுத்துவது பொதுவாக அரசு வழங்கும் அச்சுறுத்தல் நடிகர்கள் மற்றும் ransomware குழுக்களுடன் தொடர்புடைய ஒரு தந்திரமாகும். இருப்பினும், இது இப்போது தகவல் சேகரிப்பு மால்வேர் பிரச்சாரங்களால் ஏற்றுக்கொள்ளப்பட்டதாகத் தெரிகிறது.

மால்வேர் பிப்ரவரி 2023 முதல் செயலில் உள்ளது என்று அவர்கள் குறிப்பிட்டிருந்தாலும், ஸ்டீல்ஃபாக்ஸ் செயல்பாட்டை ஆராய்ச்சியாளர்கள் முதன்முதலில் கண்டறிந்தனர். டொரண்ட்கள், வலைப்பதிவுகள் மற்றும் மன்ற இடுகைகள் உட்பட பல்வேறு சேனல்கள் மூலம் அதன் விநியோகம் சமீபத்திய மாதங்களில் அதிகரித்து வருகிறது.

ஸ்டீல்ஃபாக்ஸ் தொற்று மற்றும் சிறப்புரிமை அதிகரிப்பு

SteelFox தீம்பொருள் துளிசொட்டியை விளம்பரப்படுத்தும் இடுகைகள், சட்ட விரோதமாக மென்பொருளை எவ்வாறு செயல்படுத்துவது என்பது பற்றிய விரிவான வழிமுறைகளை உள்ளடக்கியதாக அறிக்கைகள் குறிப்பிடுகின்றன. உதாரணமாக, ஜெட்பிரைன்களை எவ்வாறு செயல்படுத்துவது என்பது குறித்த படிப்படியான வழிகாட்டுதலை இது போன்ற ஒரு இடுகை வழங்குகிறது. துளிசொட்டி மென்பொருளைச் செயல்படுத்தும் விளம்பரப்படுத்தப்பட்ட செயல்பாட்டைச் செய்யும் போது, பயனர்கள் கவனக்குறைவாக தங்கள் கணினிகளை தீம்பொருளால் பாதிக்கிறார்கள்.

இலக்கு மென்பொருள் பொதுவாக நிரல் கோப்புகளில் நிறுவப்பட்டிருப்பதால், கிராக் சேர்ப்பதற்கு நிர்வாகி அளவிலான அணுகல் தேவைப்படுகிறது, தீம்பொருள் அதன் தாக்குதலின் போது அதை மேம்படுத்துகிறது. கோப்புகள் திறக்கப்படும் வரை நிறுவல் செயல்முறை முறையானது என்று ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர். அந்த கட்டத்தில், ஒரு பாதுகாப்பற்ற செயல்பாடு அறிமுகப்படுத்தப்பட்டது, இது SteelFox ஐ கணினியில் ஏற்றுவதற்குப் பொறுப்பான குறியீட்டைக் குறைக்கிறது.

பாதிக்கப்படக்கூடிய டிரைவர்களை சுரண்டுதல்

SteelFox நிர்வாகச் சலுகைகளைப் பெற்றவுடன், WinRing0.sys ஐ இயக்கும் சேவையை நிறுவுகிறது, இது CVE-2020-14979 மற்றும் CVE-2021-41285 ஆகியவற்றால் பாதிக்கப்படக்கூடிய ஒரு இயக்கி. இந்த பாதிப்புகள் தீம்பொருளை NT/SYSTEM நிலைக்கு அதிகரிக்க அனுமதிக்கின்றன, இது கணினிக்கான மிக உயர்ந்த அணுகலை வழங்குகிறது-நிர்வாகி உரிமைகளை விட அதிக சக்தி வாய்ந்தது. இந்த அணுகல் நிலை தீம்பொருளை எந்தவொரு கணினி வளத்தையும் கையாள அல்லது சுதந்திரமாக செயலாக்க உதவுகிறது.

சிறப்புரிமை அதிகரிப்புக்கு கூடுதலாக, WinRing0.sys இயக்கி கிரிப்டோகரன்சி சுரங்கத்தில் பயன்படுத்தப்படுகிறது. இது XMRig சுரங்கத்தின் ஒரு பகுதியாகும், இது Monero சுரங்கமாகும். ஹார்ட்கோட் செய்யப்பட்ட நற்சான்றிதழ்களுடன் சுரங்கக் குளத்துடன் இணைக்க கட்டமைக்கப்பட்ட இந்த சுரங்கத் தொழிலாளியின் மாற்றியமைக்கப்பட்ட பதிப்பைத் தாக்குபவர் பயன்படுத்துகிறார்.

SSL பின்னிங் மற்றும் TLS v1.3 ஐப் பயன்படுத்தி மால்வேர் அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் பாதுகாப்பான இணைப்பை நிறுவுகிறது, தகவல்தொடர்புகள் குறியாக்கம் செய்யப்பட்டு இடைமறிப்பதில் இருந்து பாதுகாக்கப்படுவதை உறுதி செய்கிறது. கூடுதலாக, இது பதின்மூன்று இணைய உலாவிகள், கணினி தகவல், நெட்வொர்க் விவரங்கள் மற்றும் எந்த RDP (ரிமோட் டெஸ்க்டாப் புரோட்டோகால்) இணைப்புகளிலிருந்தும் தரவைச் சேகரிக்கும் ஒரு தகவல்-திருடுபவர் கூறுகளை செயல்படுத்துகிறது. ஸ்டீல்ஃபாக்ஸ் கிரெடிட் கார்டுகள், உலாவல் வரலாறு மற்றும் குக்கீகள் உள்ளிட்ட தரவை சேகரிக்க முடியும்.

SteelFox பல நாடுகளில் இருந்து பாதிக்கப்பட்டவர்களை பாதிக்கிறது

SteelFox பயன்படுத்தும் C2 டொமைன் ஹார்ட்கோட் செய்யப்பட்டிருந்தாலும், தாக்குபவர் அதன் IP முகவரிகளை அடிக்கடி மாற்றுவதன் மூலமும், Google Public DNS மற்றும் DNS மூலம் HTTPS (DoH) மூலம் அவற்றைத் தீர்ப்பதன் மூலமும் அதை மறைத்துவிடுகிறார். SteelFox தாக்குதல்கள் குறிப்பிட்ட நபர்களை குறிவைக்காது ஆனால் AutoCAD, JetBrains மற்றும் Foxit PDF Editor இன் பயனர்களை முதன்மையாக பாதிக்கும். பிரேசில், சீனா, ரஷ்யா, மெக்சிகோ, ஐக்கிய அரபு எமிரேட்ஸ், எகிப்து, அல்ஜீரியா, வியட்நாம், இந்தியா மற்றும் இலங்கை போன்ற நாடுகளில் இந்த மால்வேர் அமைப்புகளை சமரசம் செய்வதாகக் கண்டறியப்பட்டுள்ளது.

ஒப்பீட்டளவில் புதியதாக இருந்தாலும், SteelFox ஒரு விரிவான கிரைம்வேர் தொகுப்பாகும். மால்வேர் பகுப்பாய்வு அதன் டெவலப்பர் சி++ நிரலாக்கத்தில் திறமையானவர் என்றும், தீம்பொருளின் மிகவும் பயனுள்ள பகுதியை உருவாக்க வெளிப்புற நூலகங்களை இணைத்துள்ளதாகவும் தெரிவிக்கிறது.