SteelFox 惡意軟體
已發現一種名為 SteelFox 的新威脅軟體包。它針對 Windows 系統來挖掘加密貨幣並收集信用卡資訊。該惡意軟體利用一種名為「自帶易受攻擊的驅動程式」的技術將權限升級到系統級別,從而使其能夠繞過安全措施。
該惡意軟體主要透過論壇和 torrent 網站傳播,偽裝成破解工具,啟動 Foxit PDF Editor、JetBrains 和 AutoCAD 等合法軟體。使用易受攻擊的驅動程式進行權限升級是一種通常與國家支援的威脅行為者和勒索軟體組織相關的策略。儘管如此,它現在似乎也被資訊收集惡意軟體活動所採用。
研究人員在8 月首次發現了SteelFox 的操作,不過他們指出,該惡意軟體自2023 年2 月以來一直很活躍。論壇貼文.
目錄
SteelFox 感染和權限升級
報告表明,宣傳 SteelFox 惡意軟體植入程式的貼文通常包含有關如何非法啟動軟體的詳細說明。例如,其中一篇文章提供了有關如何啟動 JetBrains 的逐步指南。雖然植入程式確實執行了啟動軟體的廣告功能,但用戶在過程中無意中用惡意軟體感染了他們的系統。
由於目標軟體通常安裝在程式檔案中,因此新增破解需要管理員層級的存取權限,惡意軟體在攻擊過程中會利用管理員層級的存取權限。研究人員指出,在解壓縮檔案之前,安裝過程似乎都是合法的。在此階段,引入了一個不安全的函數,該函數隨後刪除了負責將 SteelFox 載入到系統上的程式碼。
利用易受攻擊的驅動程式
一旦 SteelFox 獲得管理權限,它就會安裝運行 WinRing0.sys 的服務,這是一個容易受到 CVE-2020-14979 和 CVE-2021-41285 影響的易受攻擊的驅動程式。這些漏洞允許惡意軟體將權限升級到 NT/SYSTEM 級別,從而授予其最高級別的系統存取權限,比管理員權限更有效。這種存取等級使惡意軟體能夠自由地操縱任何系統資源或進程。
除了權限升級之外,WinRing0.sys 驅動程式還用於加密貨幣挖礦。它是XMRig礦機的一部分,用於開採門羅幣。攻擊者部署該礦工的修改版本,配置為使用硬編碼憑證連接到礦池。
該惡意軟體還使用 SSL pinning 和 TLS v1.3 與其命令與控制 (C2) 伺服器建立安全連接,確保通訊加密並防止攔截。此外,它還會啟動一個資訊竊取器元件,該元件從 13 個 Web 瀏覽器收集資料、系統資訊、網路詳細資訊和任何 RDP(遠端桌面協定)連接。 SteelFox 可以收集數據,包括信用卡、瀏覽記錄和 cookie。
SteelFox 感染了來自多個國家的受害者
儘管 SteelFox 使用的 C2 網域是硬編碼的,但攻擊者透過頻繁更改其 IP 位址並透過 Google 公用 DNS 和 DNS over HTTPS (DoH) 解析它們來隱藏它。 SteelFox 攻擊並非針對特定個人,但似乎主要影響 AutoCAD、JetBrains 和 Foxit PDF Editor 的使用者。據觀察,該惡意軟體危害了巴西、中國、俄羅斯、墨西哥、阿聯酋、埃及、阿爾及利亞、越南、印度和斯里蘭卡等國家的系統。
儘管相對較新,SteelFox 卻是一個綜合性的犯罪軟體包。惡意軟體分析表明,其開發人員精通 C++ 編程,並結合了外部程式庫來製作高效的惡意軟體。
