มัลแวร์ SteelFox
พบแพ็คเกจคุกคามใหม่ที่เรียกว่า SteelFox ซึ่งกำหนดเป้าหมายระบบ Windows เพื่อขุดสกุลเงินดิจิทัลและรวบรวมข้อมูลบัตรเครดิต มัลแวร์ใช้เทคนิคที่เรียกว่า "นำไดรเวอร์ที่เสี่ยงภัยของคุณเองมาใช้" เพื่อยกระดับสิทธิ์ไปที่ระดับระบบ ทำให้สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยได้
มัลแวร์แพร่กระจายส่วนใหญ่ผ่านฟอรัมและเว็บไซต์ทอร์เรนต์ โดยแอบอ้างว่าเป็นเครื่องมือแคร็กที่เปิดใช้งานซอฟต์แวร์ที่ถูกกฎหมาย เช่น Foxit PDF Editor, JetBrains และ AutoCAD การใช้ไดรเวอร์ที่มีช่องโหว่เพื่อยกระดับสิทธิ์เป็นกลวิธีที่มักเกี่ยวข้องกับผู้คุกคามที่ได้รับการสนับสนุนจากรัฐและกลุ่มแรนซัมแวร์ อย่างไรก็ตาม ดูเหมือนว่าในปัจจุบัน กลวิธีนี้จะถูกนำไปใช้ในแคมเปญมัลแวร์รวบรวมข้อมูลด้วยเช่นกัน
นักวิจัยระบุถึงปฏิบัติการของ SteelFox เป็นครั้งแรกในเดือนสิงหาคม แม้ว่าพวกเขาจะสังเกตว่ามัลแวร์ดังกล่าวได้เคลื่อนไหวมาตั้งแต่เดือนกุมภาพันธ์ 2023 การแพร่กระจายของมัลแวร์ได้เพิ่มขึ้นในช่วงไม่กี่เดือนที่ผ่านมาผ่านช่องทางต่างๆ รวมถึงทอร์เรนต์ บล็อก และโพสต์ในฟอรัม
สารบัญ
การติดเชื้อ SteelFox และการเพิ่มสิทธิพิเศษ
รายงานระบุว่าโพสต์ที่ส่งเสริมโปรแกรมดรอปเปอร์มัลแวร์ SteelFox มักมีคำแนะนำโดยละเอียดเกี่ยวกับวิธีการเปิดใช้งานซอฟต์แวร์อย่างผิดกฎหมาย ตัวอย่างเช่น โพสต์หนึ่งมีคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการเปิดใช้งาน JetBrains แม้ว่าโปรแกรมดรอปเปอร์จะทำหน้าที่เปิดใช้งานซอฟต์แวร์ตามที่โฆษณาไว้ แต่ผู้ใช้กลับทำให้ระบบของตนติดมัลแวร์โดยไม่ได้ตั้งใจ
เนื่องจากซอฟต์แวร์เป้าหมายมักจะติดตั้งไว้ใน Program Files การเพิ่มแคร็กจึงต้องมีการเข้าถึงระดับผู้ดูแลระบบ ซึ่งมัลแวร์จะใช้ประโยชน์ในระหว่างการโจมตี นักวิจัยสังเกตว่ากระบวนการติดตั้งดูเหมือนจะถูกต้องตามกฎหมายจนกว่าจะถึงจุดที่แตกไฟล์ ในขั้นตอนนั้น จะมีการแนะนำฟังก์ชันที่ไม่ปลอดภัย ซึ่งจะปล่อยโค้ดที่รับผิดชอบในการโหลด SteelFox ลงในระบบ
การใช้ประโยชน์จากไดรเวอร์ที่มีความเสี่ยง
เมื่อ SteelFox ได้รับสิทธิ์การดูแลระบบแล้ว ก็จะติดตั้งบริการที่รัน WinRing0.sys ซึ่งเป็นไดรเวอร์ที่มีช่องโหว่ที่อาจได้รับ CVE-2020-14979 และ CVE-2021-41285 ช่องโหว่เหล่านี้ทำให้มัลแวร์สามารถยกระดับสิทธิ์เป็นระดับ NT/SYSTEM ทำให้สามารถเข้าถึงระบบได้ในระดับสูงสุด ซึ่งถือว่ามีศักยภาพมากกว่าสิทธิ์ของผู้ดูแลระบบ ระดับการเข้าถึงนี้ทำให้มัลแวร์สามารถจัดการทรัพยากรระบบหรือกระบวนการใดๆ ได้อย่างอิสระ
นอกจากการเพิ่มสิทธิ์แล้ว ไดรเวอร์ WinRing0.sys ยังใช้ในการขุดสกุลเงินดิจิทัลอีกด้วย ไดรเวอร์นี้เป็นส่วนหนึ่งของโปรแกรมขุด XMRig ซึ่งใช้ในการขุด Monero ผู้โจมตีใช้โปรแกรมขุดเวอร์ชันดัดแปลงที่กำหนดค่าให้เชื่อมต่อกับกลุ่มการขุดโดยใช้ข้อมูลประจำตัวที่เข้ารหัสแบบฮาร์ดโค้ด
นอกจากนี้ มัลแวร์ยังสร้างการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์ Command-and-Control (C2) โดยใช้การปักหมุด SSL และ TLS v1.3 เพื่อให้แน่ใจว่าการสื่อสารได้รับการเข้ารหัสและป้องกันการดักจับ นอกจากนี้ มัลแวร์ยังเปิดใช้งานส่วนประกอบขโมยข้อมูลซึ่งรวบรวมข้อมูลจากเว็บเบราว์เซอร์ 13 รายการ ข้อมูลระบบ รายละเอียดเครือข่าย และการเชื่อมต่อ RDP (Remote Desktop Protocol) SteelFox สามารถรวบรวมข้อมูลต่างๆ รวมถึงบัตรเครดิต ประวัติการเรียกดู และคุกกี้
SteelFox แพร่เชื้อสู่เหยื่อจากหลายประเทศ
แม้ว่าโดเมน C2 ที่ใช้โดย SteelFox จะถูกเข้ารหัสแบบฮาร์ดโค้ด แต่ผู้โจมตีก็ปกปิดโดเมนนี้โดยเปลี่ยนที่อยู่ IP บ่อยๆ และแก้ไขที่อยู่ IP ผ่าน Google Public DNS และ DNS over HTTPS (DoH) การโจมตีของ SteelFox ไม่ได้กำหนดเป้าหมายบุคคลใดบุคคลหนึ่ง แต่ดูเหมือนว่าจะส่งผลกระทบต่อผู้ใช้ AutoCAD, JetBrains และ Foxit PDF Editor เป็นหลัก มัลแวร์ดังกล่าวถูกตรวจพบว่าโจมตีระบบในประเทศต่างๆ เช่น บราซิล จีน รัสเซีย เม็กซิโก สหรัฐอาหรับเอมิเรตส์ อียิปต์ อัลจีเรีย เวียดนาม อินเดีย และศรีลังกา
แม้ว่าจะค่อนข้างใหม่ แต่ SteelFox ก็เป็นแพ็คเกจซอฟต์แวร์ป้องกันอาชญากรรมที่ครอบคลุม การวิเคราะห์มัลแวร์แสดงให้เห็นว่าผู้พัฒนามีความชำนาญในการเขียนโปรแกรม C++ และได้รวมไลบรารีภายนอกเพื่อสร้างมัลแวร์ที่มีประสิทธิภาพสูง
