Phần mềm độc hại SteelFox
Một gói đe dọa mới có tên là SteelFox đã được phát hiện. Nó nhắm vào các hệ thống Windows để khai thác tiền điện tử và thu thập thông tin thẻ tín dụng. Phần mềm độc hại sử dụng một kỹ thuật có tên là 'mang trình điều khiển dễ bị tấn công của riêng bạn' để nâng cao đặc quyền lên cấp HỆ THỐNG, cho phép nó vượt qua các biện pháp bảo mật.
Phần mềm độc hại chủ yếu lây lan qua các diễn đàn và trang web torrent, nơi nó ngụy trang thành một công cụ crack kích hoạt phần mềm hợp pháp như Foxit PDF Editor, JetBrains và AutoCAD. Việc sử dụng trình điều khiển dễ bị tấn công để leo thang đặc quyền là một chiến thuật thường liên quan đến các tác nhân đe dọa được nhà nước tài trợ và các nhóm ransomware. Tuy nhiên, hiện tại nó dường như cũng được các chiến dịch phần mềm độc hại thu thập thông tin áp dụng.
Các nhà nghiên cứu lần đầu phát hiện ra hoạt động của SteelFox vào tháng 8, mặc dù họ lưu ý rằng phần mềm độc hại này đã hoạt động từ tháng 2 năm 2023. Hoạt động phân phối của nó đã tăng lên trong những tháng gần đây thông qua nhiều kênh khác nhau, bao gồm torrent, blog và bài đăng trên diễn đàn.
Mục lục
Nhiễm trùng SteelFox và leo thang đặc quyền
Các báo cáo chỉ ra rằng các bài đăng quảng cáo phần mềm độc hại SteelFox thường bao gồm hướng dẫn chi tiết về cách kích hoạt phần mềm bất hợp pháp. Ví dụ, một bài đăng như vậy cung cấp hướng dẫn từng bước về cách kích hoạt JetBrains. Mặc dù phần mềm này thực hiện chức năng được quảng cáo là kích hoạt phần mềm, nhưng người dùng vô tình lây nhiễm phần mềm độc hại vào hệ thống của họ trong quá trình này.
Vì phần mềm mục tiêu thường được cài đặt trong Program Files, việc thêm crack đòi hỏi quyền truy cập cấp quản trị viên, mà phần mềm độc hại tận dụng trong quá trình tấn công. Các nhà nghiên cứu lưu ý rằng quá trình cài đặt có vẻ hợp lệ cho đến thời điểm các tệp được giải nén. Ở giai đoạn đó, một chức năng không an toàn được đưa vào, sau đó thả mã chịu trách nhiệm tải SteelFox vào hệ thống.
Khai thác các trình điều khiển dễ bị tổn thương
Khi SteelFox giành được quyền quản trị, nó sẽ cài đặt một dịch vụ chạy WinRing0.sys, một trình điều khiển dễ bị tấn công bởi CVE-2020-14979 và CVE-2021-41285. Các lỗ hổng này cho phép phần mềm độc hại leo thang đặc quyền lên cấp NT/SYSTEM, cấp cho nó quyền truy cập cao nhất vào hệ thống—mạnh hơn quyền quản trị viên. Mức truy cập này cho phép phần mềm độc hại thao túng bất kỳ tài nguyên hoặc quy trình hệ thống nào một cách tự do.
Ngoài việc leo thang đặc quyền, trình điều khiển WinRing0.sys được sử dụng trong khai thác tiền điện tử. Nó là một phần của trình khai thác XMRig , khai thác Monero. Kẻ tấn công triển khai phiên bản đã sửa đổi của trình khai thác này, được định cấu hình để kết nối với nhóm khai thác có thông tin xác thực được mã hóa cứng.
Phần mềm độc hại này cũng thiết lập kết nối an toàn với máy chủ Command-and-Control (C2) của nó bằng cách sử dụng SSL pinning và TLS v1.3, đảm bảo rằng thông tin liên lạc được mã hóa và được bảo vệ khỏi bị chặn. Ngoài ra, nó kích hoạt một thành phần đánh cắp thông tin thu thập dữ liệu từ mười ba trình duyệt web, thông tin hệ thống, chi tiết mạng và bất kỳ kết nối RDP (Giao thức máy tính từ xa). SteelFox có thể thu thập dữ liệu, bao gồm thẻ tín dụng, lịch sử duyệt web và cookie.
SteelFox lây nhiễm cho nạn nhân từ nhiều quốc gia
Mặc dù tên miền C2 được SteelFox sử dụng được mã hóa cứng, kẻ tấn công che giấu nó bằng cách thường xuyên thay đổi địa chỉ IP và giải quyết chúng thông qua Google Public DNS và DNS qua HTTPS (DoH). Các cuộc tấn công của SteelFox không nhắm vào các cá nhân cụ thể mà chủ yếu ảnh hưởng đến người dùng AutoCAD, JetBrains và Foxit PDF Editor. Phần mềm độc hại đã được phát hiện xâm phạm các hệ thống ở các quốc gia như Brazil, Trung Quốc, Nga, Mexico, UAE, Ai Cập, Algeria, Việt Nam, Ấn Độ và Sri Lanka.
Mặc dù tương đối mới, SteelFox là một gói phần mềm tội phạm toàn diện. Phân tích phần mềm độc hại cho thấy nhà phát triển của nó thành thạo lập trình C++ và đã kết hợp các thư viện bên ngoài để tạo ra một phần mềm độc hại có hiệu quả cao.
