SteelFox మాల్వేర్
SteelFox అని పిలువబడే ఒక కొత్త బెదిరింపు ప్యాకేజీ కనుగొనబడింది. ఇది క్రిప్టోకరెన్సీని గని మరియు క్రెడిట్ కార్డ్ సమాచారాన్ని సేకరించేందుకు Windows సిస్టమ్లను లక్ష్యంగా చేసుకుంటుంది. మాల్వేర్ 'మీ స్వంత హాని కలిగించే డ్రైవర్ను తీసుకురండి' అనే సాంకేతికతను SYSTEM స్థాయికి పెంచడానికి, భద్రతా చర్యలను దాటవేయడానికి అనుమతిస్తుంది.
మాల్వేర్ ప్రధానంగా ఫోరమ్లు మరియు టొరెంట్ సైట్ల ద్వారా వ్యాపిస్తుంది, ఇక్కడ ఇది ఫాక్సిట్ PDF ఎడిటర్, జెట్బ్రెయిన్స్ మరియు ఆటోకాడ్ వంటి చట్టబద్ధమైన సాఫ్ట్వేర్ను సక్రియం చేసే క్రాక్ టూల్గా మాస్క్వెరేడ్ అవుతుంది. ప్రివిలేజ్ పెంపు కోసం హాని కలిగించే డ్రైవర్లను ఉపయోగించడం అనేది సాధారణంగా రాష్ట్ర-ప్రాయోజిత ముప్పు నటులు మరియు ransomware సమూహాలతో అనుబంధించబడిన వ్యూహం. అయినప్పటికీ, ఇది ఇప్పుడు సమాచారాన్ని సేకరించే మాల్వేర్ ప్రచారాల ద్వారా కూడా స్వీకరించబడినట్లు కనిపిస్తోంది.
మాల్వేర్ ఫిబ్రవరి 2023 నుండి సక్రియంగా ఉందని వారు గుర్తించినప్పటికీ, పరిశోధకులు SteelFox ఆపరేషన్ను మొదటిసారిగా ఆగస్టులో గుర్తించారు. టొరెంట్లు, బ్లాగులు మరియు ఫోరమ్ పోస్ట్లతో సహా వివిధ ఛానెల్ల ద్వారా ఇటీవలి నెలల్లో దీని పంపిణీ పెరుగుతోంది.
విషయ సూచిక
స్టీల్ఫాక్స్ ఇన్ఫెక్షన్ మరియు ప్రివిలేజ్ ఎస్కలేషన్
SteelFox మాల్వేర్ డ్రాపర్ను ప్రచారం చేసే పోస్ట్లు తరచుగా సాఫ్ట్వేర్ను చట్టవిరుద్ధంగా ఎలా యాక్టివేట్ చేయాలనే దానిపై వివరణాత్మక సూచనలను కలిగి ఉంటాయని నివేదికలు సూచిస్తున్నాయి. ఉదాహరణకు, అలాంటి ఒక పోస్ట్ JetBrainsను ఎలా యాక్టివేట్ చేయాలనే దానిపై దశల వారీ మార్గదర్శకత్వాన్ని అందిస్తుంది. సాఫ్ట్వేర్ను యాక్టివేట్ చేయడంలో డ్రాపర్ అడ్వర్టైజ్డ్ ఫంక్షన్ను నిర్వహిస్తుండగా, వినియోగదారులు అనుకోకుండా తమ సిస్టమ్లను మాల్వేర్తో ఇన్ఫెక్ట్ చేస్తారు.
టార్గెటెడ్ సాఫ్ట్వేర్ సాధారణంగా ప్రోగ్రామ్ ఫైల్స్లో ఇన్స్టాల్ చేయబడి ఉంటుంది కాబట్టి, క్రాక్ను జోడించడం కోసం అడ్మినిస్ట్రేటర్-స్థాయి యాక్సెస్ అవసరం, మాల్వేర్ దాని దాడి సమయంలో దీన్ని ప్రభావితం చేస్తుంది. ఫైల్లు అన్ప్యాక్ చేయబడే వరకు ఇన్స్టాలేషన్ ప్రక్రియ చట్టబద్ధంగా కనిపిస్తుందని పరిశోధకులు గమనించారు. ఆ దశలో, ఒక అసురక్షిత ఫంక్షన్ ప్రవేశపెట్టబడింది, ఇది స్టీల్ఫాక్స్ను సిస్టమ్లోకి లోడ్ చేయడానికి బాధ్యత వహించే కోడ్ను తగ్గిస్తుంది.
హాని కలిగించే డ్రైవర్లను దోపిడీ చేయడం
SteelFox అడ్మినిస్ట్రేటివ్ అధికారాలను పొందిన తర్వాత, ఇది WinRing0.sysని అమలు చేసే సేవను ఇన్స్టాల్ చేస్తుంది, ఇది CVE-2020-14979 మరియు CVE-2021-41285కి గురయ్యే హాని కలిగించే డ్రైవర్. ఈ దుర్బలత్వాలు మాల్వేర్ అధికారాలను NT/SYSTEM స్థాయికి పెంచడానికి అనుమతిస్తాయి, ఇది సిస్టమ్కు అత్యున్నత స్థాయి యాక్సెస్ను మంజూరు చేస్తుంది-అడ్మినిస్ట్రేటర్ హక్కుల కంటే శక్తివంతమైనది. ఈ స్థాయి యాక్సెస్ మాల్వేర్ ఏదైనా సిస్టమ్ రిసోర్స్ను మార్చడానికి లేదా ఉచితంగా ప్రాసెస్ చేయడానికి అనుమతిస్తుంది.
ప్రివిలేజ్ ఎస్కలేషన్తో పాటు, WinRing0.sys డ్రైవర్ క్రిప్టోకరెన్సీ మైనింగ్లో ఉపయోగించబడుతుంది. ఇది XMRig మైనర్లో భాగం, ఇది Moneroని గనులు చేస్తుంది. దాడి చేసే వ్యక్తి ఈ మైనర్ యొక్క సవరించిన సంస్కరణను అమలు చేస్తాడు, హార్డ్కోడెడ్ ఆధారాలతో మైనింగ్ పూల్కు కనెక్ట్ చేయడానికి కాన్ఫిగర్ చేయబడింది.
SSL పిన్నింగ్ మరియు TLS v1.3ని ఉపయోగించి మాల్వేర్ దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో సురక్షిత కనెక్షన్ని కూడా ఏర్పాటు చేస్తుంది, కమ్యూనికేషన్లు గుప్తీకరించబడి మరియు అంతరాయానికి దూరంగా ఉండేలా చూస్తుంది. అదనంగా, ఇది పదమూడు వెబ్ బ్రౌజర్లు, సిస్టమ్ సమాచారం, నెట్వర్క్ వివరాలు మరియు ఏదైనా RDP (రిమోట్ డెస్క్టాప్ ప్రోటోకాల్) కనెక్షన్ల నుండి డేటాను సేకరించే ఇన్ఫో-స్టీలర్ కాంపోనెంట్ను యాక్టివేట్ చేస్తుంది. SteelFox క్రెడిట్ కార్డ్లు, బ్రౌజింగ్ చరిత్ర మరియు కుక్కీలతో సహా డేటాను సేకరించగలదు.
SteelFox అనేక దేశాల నుండి బాధితులకు సోకుతుంది
SteelFox ఉపయోగించే C2 డొమైన్ హార్డ్కోడ్ చేయబడినప్పటికీ, దాడి చేసే వ్యక్తి దాని IP చిరునామాలను తరచుగా మార్చడం ద్వారా మరియు Google పబ్లిక్ DNS మరియు DNS ద్వారా HTTPS (DoH) ద్వారా వాటిని పరిష్కరించడం ద్వారా దానిని దాచిపెడతాడు. SteelFox దాడులు నిర్దిష్ట వ్యక్తులను లక్ష్యంగా చేసుకోవు కానీ ప్రధానంగా AutoCAD, JetBrains మరియు Foxit PDF ఎడిటర్ వినియోగదారులను ప్రభావితం చేస్తాయి. బ్రెజిల్, చైనా, రష్యా, మెక్సికో, UAE, ఈజిప్ట్, అల్జీరియా, వియత్నాం, భారతదేశం మరియు శ్రీలంక వంటి దేశాల్లో మాల్వేర్ రాజీపడే సిస్టమ్లను గమనించింది.
సాపేక్షంగా కొత్తది అయినప్పటికీ, SteelFox ఒక సమగ్ర క్రైమ్వేర్ ప్యాకేజీ. మాల్వేర్ విశ్లేషణ దాని డెవలపర్ C++ ప్రోగ్రామింగ్లో ప్రావీణ్యం కలిగి ఉందని మరియు మాల్వేర్ యొక్క అత్యంత ప్రభావవంతమైన భాగాన్ని రూపొందించడానికి బాహ్య లైబ్రరీలను చేర్చిందని సూచిస్తుంది.
