Шкідлива програма SteelFox
Було виявлено новий загрозливий пакет, відомий як SteelFox. Він націлений на системи Windows для видобутку криптовалюти та збору інформації про кредитні картки. Зловмисне програмне забезпечення використовує техніку під назвою «запровадження власного вразливого драйвера», щоб підвищити привілеї до СИСТЕМНОГО рівня, що дозволяє обходити заходи безпеки.
Зловмисне програмне забезпечення в основному поширюється через форуми та торрент-сайти, де воно маскується під інструмент злому, який активує законне програмне забезпечення, таке як Foxit PDF Editor, JetBrains і AutoCAD. Використання вразливих драйверів для ескалації привілеїв — це тактика, яка зазвичай асоціюється зі спонсорованими державою суб’єктами загрози та групами програм-вимагачів. Тим не менш, тепер, здається, його також використовують кампанії зі збору інформації про зловмисне програмне забезпечення.
Дослідники вперше виявили операцію SteelFox у серпні, хоча вони відзначили, що зловмисне програмне забезпечення було активно з лютого 2023 року. Його розповсюдження наростає в останні місяці через різні канали, включаючи торренти, блоги та повідомлення на форумах.
Зміст
Зараження SteelFox і підвищення привілеїв
Звіти свідчать про те, що дописи, які рекламують дроппер шкідливих програм SteelFox, часто містять докладні інструкції щодо незаконної активації програмного забезпечення. Наприклад, одна з таких публікацій пропонує покрокові вказівки щодо того, як активувати JetBrains. Хоча дроппер виконує рекламовану функцію активації програмного забезпечення, користувачі в процесі ненавмисно заражають свої системи шкідливим програмним забезпеченням.
Оскільки цільове програмне забезпечення зазвичай інсталюється у програмних файлах, для додавання злому потрібен доступ на рівні адміністратора, який зловмисне програмне забезпечення використовує під час своєї атаки. Дослідники відзначають, що процес інсталяції виглядає легітимним до моменту розпакування файлів. На цьому етапі вводиться небезпечна функція, яка потім видаляє код, відповідальний за завантаження SteelFox у систему.
Використання вразливих драйверів
Щойно SteelFox отримує права адміністратора, він встановлює службу, яка запускає WinRing0.sys, уразливий драйвер, чутливий до CVE-2020-14979 і CVE-2021-41285. Ці вразливості дозволяють зловмисному програмному забезпеченню підвищити привілеї до рівня NT/SYSTEM, надаючи йому найвищий рівень доступу до системи — потужніший, ніж права адміністратора. Цей рівень доступу дозволяє зловмисному програмному забезпеченню вільно маніпулювати будь-яким системним ресурсом або процесом.
Крім підвищення привілеїв, драйвер WinRing0.sys використовується в майнінгу криптовалюти. Це частина майнера XMRig , який добуває Monero. Зловмисник розгортає модифіковану версію цього майнера, налаштовану на підключення до пулу майнінгу за допомогою жорстко закодованих облікових даних.
Зловмисне програмне забезпечення також встановлює безпечне з’єднання зі своїм сервером командування та керування (C2) за допомогою закріплення SSL і TLS v1.3, гарантуючи, що зв’язок зашифрований і захищений від перехоплення. Крім того, він активує компонент викрадання інформації, який збирає дані з тринадцяти веб-браузерів, інформацію про систему, відомості про мережу та будь-які з’єднання RDP (протоколу віддаленого робочого столу). SteelFox може збирати дані, зокрема кредитні картки, історію веб-перегляду та файли cookie.
SteelFox заражає жертв з багатьох країн
Хоча домен C2, який використовує SteelFox, жорстко закодований, зловмисник приховує його, часто змінюючи його IP-адреси та розпізнаючи їх через Google Public DNS і DNS через HTTPS (DoH). Атаки SteelFox не націлені на конкретних осіб, але, здається, в основному вражають користувачів AutoCAD, JetBrains і Foxit PDF Editor. Помічено, що зловмисне програмне забезпечення компрометує системи в таких країнах, як Бразилія, Китай, Росія, Мексика, ОАЕ, Єгипет, Алжир, В’єтнам, Індія та Шрі-Ланка.
Незважаючи на те, що SteelFox є відносно новим, він є комплексним пакетом злочинних програм. Аналіз зловмисного програмного забезпечення свідчить про те, що його розробник добре володіє програмуванням на C++ і включив зовнішні бібліотеки для створення високоефективного зловмисного програмного забезпечення.
