Търсене
Close this search box.

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и краде данни за кредитни карти, като използва техниката „донеси свой уязвим драйвер“, за да получи привилегии на СИСТЕМАТА на машини с Windows.

Dropper-ът на зловредния пакет се разпространява чрез форуми и торент тракери като инструмент за кракване, който активира легитимни версии на различен софтуер като Foxit PDF Editor, JetBrains и AutoCAD.

Използването на уязвим драйвер за повишаване на привилегиите е обичайно за спонсорирани от държавата  заплахи и групи за рансъмуер. Сега обаче изглежда, че техниката обхваща и атаки със зловреден софтуер за кражба на информация.

Изследователите на Kaspersky откриха кампанията SteelFox през август, но казват, че зловредният софтуер съществува от февруари 2023 г. и напоследък е увеличил разпространението си, използвайки множество канали (напр. торенти, блогове и публикации във форуми).

По данни на компанията нейните продукти са открили и блокирали атаки на SteelFox 11 000 пъти.

Заразяване със SteelFox и повишаване на привилегиите

Kaspersky съобщава, че злонамерените постове, популяризиращи дропъра SteelFox, идват с пълни инструкции как да се активира незаконно софтуерът. По-долу е показан образец на такъв пост, предоставящ указания как да се активира JetBrains:

Изследователите казват, че макар капкомерът да има рекламираната функционалност, потребителите също така заразяват системите си със зловреден софтуер. Тъй като софтуерът, към който е насочено незаконното активиране, обикновено е инсталиран в Program Files, добавянето на крак изисква администраторски достъп – разрешение, което зловредният софтуер използва по-късно в атаката.

Изследователите на Kaspersky казват, че „веригата за изпълнение изглежда легитимна до момента, в който файловете се разопаковат“. Те обясняват, че по време на процеса се добавя зловредна функция, която пада върху машинния код, който зарежда SteelFox.

След като си осигури администраторски права, SteelFox създава услуга, която изпълнява вътре WinRing0.sys – драйвер, уязвим към CVE-2020-14979 и CVE-2021-41285, който може да бъде използван, за да се получи повишаване на привилегиите до ниво NT/SYSTEM.

Такива права са най-високите в локалната система, по-мощни от тези на администратор и позволяват неограничен достъп до всеки ресурс и процес.

Драйверът WinRing0.sys се използва и за добив на криптовалута, тъй като е част от програмата XMRig за добив на криптовалута Monero. Изследователите на Kaspersky казват, че заплахата използва модифицирана версия на изпълнимия файл на миньора, който се свързва с пул за добив с твърдо кодирани идентификационни данни.

След това зловредният софтуер установява връзка със своя сървър за управление и контрол (C2), като използва SSL пининг и TLS v1.3, което защитава комуникацията от прихващане.

Той също така активира компонента info-stealer, който извлича данни от 13 уеб браузъра, информация за системата, мрежата и RDP връзката.

Изследователите отбелязват, че SteelFox събира от браузърите данни като кредитни карти, история на сърфирането и бисквитки.

Kaspersky казва, че въпреки че домейнът C2, който SteelFox използва, е твърдо кодиран,  заплахата успява да го скрие, като сменя своите IP адреси и ги разрешава чрез Google Public DNS и DNS over HTTPS (DoH). Атаките на SteelFox нямат конкретни цели, но изглежда се фокусират върху потребителите на AutoCAD, JetBrains и Foxit PDF Editor.

Въз основа на видимостта на Kaspersky зловредният софтуер компрометира системи в Бразилия, Китай, Русия, Мексико, ОАЕ, Египет, Алжир, Виетнам, Индия и Шри Ланка. Въпреки че SteelFox е сравнително нов, „той е пълнофункционален криминален пакет“, казват изследователите.

Анализът на зловредния софтуер показва, че разработчикът му е опитен в програмирането на C++ и е успял да създаде внушителен зловреден софтуер чрез интегриране на външни библиотеки.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
11/12/2024

Демонстрация: Наръчник на к...

Чудили ли сте се как киберпрестъпниците...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!