SteelFox Malware
Isang bagong nagbabantang pakete na kilala bilang SteelFox ay natuklasan. Tina-target nito ang mga Windows system na magmina ng cryptocurrency at mag-ani ng impormasyon ng credit card. Gumagamit ang malware ng isang pamamaraan na tinatawag na 'dalhin ang sarili mong bulnerable driver' upang mapataas ang mga pribilehiyo sa antas ng SYSTEM, na nagpapahintulot dito na lampasan ang mga hakbang sa seguridad.
Pangunahing kumakalat ang malware sa pamamagitan ng mga forum at torrent site, kung saan nagpapanggap ito bilang isang crack tool na nagpapagana ng lehitimong software tulad ng Foxit PDF Editor, JetBrains at AutoCAD. Ang paggamit ng mga masusugatan na driver para sa pagtaas ng pribilehiyo ay isang taktika na karaniwang nauugnay sa mga aktor ng pagbabanta na inisponsor ng estado at mga grupo ng ransomware. Gayunpaman, lumilitaw na ito ngayon ay pinagtibay din ng mga kampanyang malware na nangongolekta ng impormasyon.
Una nang natukoy ng mga mananaliksik ang pagpapatakbo ng SteelFox noong Agosto, bagama't napansin nilang aktibo ang malware mula noong Pebrero 2023. Tumataas ang pamamahagi nito nitong mga nakaraang buwan sa pamamagitan ng iba't ibang channel, kabilang ang mga torrent, blog, at mga post sa forum.
Talaan ng mga Nilalaman
SteelFox Impeksyon at Pagtaas ng Pribilehiyo
Isinasaad ng mga ulat na ang mga post na nagpo-promote ng SteelFox malware dropper ay kadalasang may kasamang mga detalyadong tagubilin kung paano i-activate ang software nang ilegal. Halimbawa, ang isang naturang post ay nag-aalok ng sunud-sunod na gabay sa kung paano i-activate ang JetBrains. Habang ginagawa ng dropper ang ina-advertise na function ng pag-activate ng software, hindi sinasadyang mahawahan ng mga user ang kanilang mga system ng malware sa proseso.
Dahil ang naka-target na software ay karaniwang naka-install sa Program Files, ang pagdaragdag ng crack ay nangangailangan ng access sa antas ng administrator, na ginagamit ng malware sa panahon ng pag-atake nito. Pansinin ng mga mananaliksik na ang proseso ng pag-install ay lilitaw na lehitimo hanggang sa punto kung saan na-unpack ang mga file. Sa yugtong iyon, ipinakilala ang isang hindi ligtas na function, na pagkatapos ay ibinabagsak ang code na responsable sa pag-load ng SteelFox sa system.
Pinagsasamantalahan ang Mga Mahinang Driver
Kapag nakakuha ang SteelFox ng mga pribilehiyong pang-administratibo, nag-i-install ito ng serbisyong nagpapatakbo ng WinRing0.sys, isang masusugatan na driver na madaling kapitan sa CVE-2020-14979 at CVE-2021-41285. Ang mga kahinaang ito ay nagbibigay-daan sa malware na palakihin ang mga pribilehiyo sa antas ng NT/SYSTEM, na nagbibigay dito ng pinakamataas na antas ng access sa system—mas makapangyarihan kaysa sa mga karapatan ng administrator. Ang antas ng pag-access na ito ay nagbibigay-daan sa malware na manipulahin ang anumang mapagkukunan ng system o proseso nang malaya.
Bilang karagdagan sa pagtaas ng pribilehiyo, ang driver ng WinRing0.sys ay ginagamit sa pagmimina ng cryptocurrency. Ito ay bahagi ng minero ng XMRig , na nagmimina ng Monero. Nag-deploy ang attacker ng binagong bersyon ng minero na ito, na na-configure upang kumonekta sa isang mining pool na may mga hardcoded na kredensyal.
Ang malware ay nagtatatag din ng isang secure na koneksyon sa kanyang Command-and-Control (C2) server gamit ang SSL pinning at TLS v1.3, na tinitiyak na ang mga komunikasyon ay naka-encrypt at may proteksiyon mula sa pagharang. Bukod pa rito, ina-activate nito ang isang bahagi ng info-stealer na nangongolekta ng data mula sa labintatlong Web browser, impormasyon ng system, mga detalye ng network at anumang koneksyon ng RDP (Remote Desktop Protocol). Maaaring mag-harvest ng data ang SteelFox, kabilang ang mga credit card, kasaysayan ng pagba-browse, at cookies.
Nai-infect ng SteelFox ang mga Biktima mula sa Maraming Bansa
Bagama't ang C2 domain na ginagamit ng SteelFox ay hardcoded, itinatago ito ng attacker sa pamamagitan ng madalas na pagbabago ng mga IP address nito at pagresolba sa mga ito sa pamamagitan ng Google Public DNS at DNS sa pamamagitan ng HTTPS (DoH). Ang mga pag-atake ng SteelFox ay hindi nagta-target ng mga partikular na indibidwal ngunit tila pangunahing nakakaapekto sa mga gumagamit ng AutoCAD, JetBrains at Foxit PDF Editor. Napagmasdan ang malware na nakompromiso ang mga system sa mga bansa tulad ng Brazil, China, Russia, Mexico, UAE, Egypt, Algeria, Vietnam, India at Sri Lanka.
Sa kabila ng pagiging bago, ang SteelFox ay isang komprehensibong package ng crimeware. Iminumungkahi ng pagsusuri sa malware na ang developer nito ay bihasa sa C++ programming at nagsama ng mga panlabas na aklatan upang gumawa ng isang napaka-epektibong piraso ng malware.
