SteelFox Kötü Amaçlı Yazılım
SteelFox olarak bilinen yeni bir tehdit paketi keşfedildi. Kripto para madenciliği yapmak ve kredi kartı bilgilerini toplamak için Windows sistemlerini hedef alıyor. Kötü amaçlı yazılım, ayrıcalıkları SİSTEM düzeyine çıkarmak için 'kendi savunmasız sürücünüzü getirin' adlı bir teknik kullanıyor ve bu da güvenlik önlemlerini atlatmasına olanak tanıyor.
Kötü amaçlı yazılım, öncelikle Foxit PDF Editor, JetBrains ve AutoCAD gibi meşru yazılımları etkinleştiren bir crack aracı gibi göründüğü forumlar ve torrent siteleri aracılığıyla yayılır. Ayrıcalık yükseltme için savunmasız sürücülerin kullanımı, genellikle devlet destekli tehdit aktörleri ve fidye yazılımı gruplarıyla ilişkilendirilen bir taktiktir. Yine de, artık bilgi toplayan kötü amaçlı yazılım kampanyaları tarafından da benimsendiği görülüyor.
Araştırmacılar SteelFox operasyonunu ilk olarak Ağustos ayında tespit ettiler, ancak kötü amaçlı yazılımın Şubat 2023'ten beri aktif olduğunu belirttiler. Dağıtımı son aylarda torrentler, bloglar ve forum gönderileri dahil olmak üzere çeşitli kanallar aracılığıyla artıyor.
İçindekiler
SteelFox Enfeksiyonu ve Ayrıcalık Yükseltmesi
Raporlar, SteelFox kötü amaçlı yazılım düşürücüsünü tanıtan gönderilerin genellikle yazılımın yasa dışı olarak nasıl etkinleştirileceğine dair ayrıntılı talimatlar içerdiğini gösteriyor. Örneğin, bu tür gönderilerden biri JetBrains'in nasıl etkinleştirileceğine dair adım adım rehberlik sunuyor. Düşürücü, yazılımı etkinleştirmenin reklamı yapılan işlevini yerine getirirken, kullanıcılar bu süreçte sistemlerini istemeden kötü amaçlı yazılımla enfekte ediyor.
Hedeflenen yazılım genellikle Program Dosyaları'na yüklendiğinden, crack'i eklemek yönetici düzeyinde erişim gerektirir ve kötü amaçlı yazılım saldırı sırasında bundan yararlanır. Araştırmacılar, kurulum sürecinin dosyalar açılana kadar meşru göründüğünü belirtiyor. Bu aşamada, güvenli olmayan bir işlev tanıtılır ve bu da SteelFox'u sisteme yüklemekten sorumlu kodu düşürür.
Güvenlik Açığı Olan Sürücüleri Kullanma
SteelFox yönetici ayrıcalıkları kazandığında, CVE-2020-14979 ve CVE-2021-41285'e karşı hassas bir sürücü olan WinRing0.sys'yi çalıştıran bir hizmet yükler. Bu güvenlik açıkları, kötü amaçlı yazılımın ayrıcalıkları NT/SYSTEM düzeyine çıkarmasına olanak tanır ve ona sisteme en yüksek düzeyde erişim hakkı verir; bu da yönetici haklarından daha güçlüdür. Bu erişim düzeyi, kötü amaçlı yazılımın herhangi bir sistem kaynağını veya işlemini özgürce manipüle etmesini sağlar.
Ayrıcalık yükseltmeye ek olarak, WinRing0.sys sürücüsü kripto para madenciliğinde kullanılır. Monero madenciliği yapan XMRig madencisinin bir parçasıdır. Saldırgan, sabit kodlanmış kimlik bilgileriyle bir madencilik havuzuna bağlanmak üzere yapılandırılmış bu madencinin değiştirilmiş bir sürümünü dağıtır.
Kötü amaçlı yazılım ayrıca SSL sabitleme ve TLS v1.3 kullanarak Command-and-Control (C2) sunucusuyla güvenli bir bağlantı kurar ve iletişimlerin şifrelenmesini ve müdahaleden korunmasını sağlar. Ek olarak, on üç Web tarayıcısından, sistem bilgilerinden, ağ ayrıntılarından ve herhangi bir RDP (Uzak Masaüstü Protokolü) bağlantısından veri toplayan bir bilgi hırsızı bileşenini etkinleştirir. SteelFox, kredi kartları, tarama geçmişi ve çerezler dahil olmak üzere verileri toplayabilir.
SteelFox Çok Sayıda Ülkeden Kurbanları Enfekte Ediyor
SteelFox tarafından kullanılan C2 etki alanı sabit kodlu olmasına rağmen, saldırgan IP adreslerini sık sık değiştirerek ve bunları Google Public DNS ve HTTPS üzerinden DNS (DoH) aracılığıyla çözerek gizler. SteelFox saldırıları belirli kişileri hedef almaz ancak öncelikli olarak AutoCAD, JetBrains ve Foxit PDF Editor kullanıcılarını etkiler. Kötü amaçlı yazılımın Brezilya, Çin, Rusya, Meksika, BAE, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka gibi ülkelerde sistemleri tehlikeye attığı gözlemlenmiştir.
Nispeten yeni olmasına rağmen, SteelFox kapsamlı bir suç yazılımı paketidir. Kötü amaçlı yazılım analizi, geliştiricisinin C++ programlamada yetenekli olduğunu ve son derece etkili bir kötü amaçlı yazılım parçası oluşturmak için harici kütüphaneleri dahil ettiğini göstermektedir.
