Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и краде данни за кредитни карти, като използва техниката „донеси свой уязвим драйвер“, за да получи привилегии на СИСТЕМАТА на машини с Windows.
Dropper-ът на зловредния пакет се разпространява чрез форуми и торент тракери като инструмент за кракване, който активира легитимни версии на различен софтуер като Foxit PDF Editor, JetBrains и AutoCAD.
Използването на уязвим драйвер за повишаване на привилегиите е обичайно за спонсорирани от държавата заплахи и групи за рансъмуер. Сега обаче изглежда, че техниката обхваща и атаки със зловреден софтуер за кражба на информация.
Изследователите на Kaspersky откриха кампанията SteelFox през август, но казват, че зловредният софтуер съществува от февруари 2023 г. и напоследък е увеличил разпространението си, използвайки множество канали (напр. торенти, блогове и публикации във форуми).
По данни на компанията нейните продукти са открили и блокирали атаки на SteelFox 11 000 пъти.
Kaspersky съобщава, че злонамерените постове, популяризиращи дропъра SteelFox, идват с пълни инструкции как да се активира незаконно софтуерът. По-долу е показан образец на такъв пост, предоставящ указания как да се активира JetBrains:
Изследователите казват, че макар капкомерът да има рекламираната функционалност, потребителите също така заразяват системите си със зловреден софтуер. Тъй като софтуерът, към който е насочено незаконното активиране, обикновено е инсталиран в Program Files, добавянето на крак изисква администраторски достъп – разрешение, което зловредният софтуер използва по-късно в атаката.
Изследователите на Kaspersky казват, че „веригата за изпълнение изглежда легитимна до момента, в който файловете се разопаковат“. Те обясняват, че по време на процеса се добавя зловредна функция, която пада върху машинния код, който зарежда SteelFox.
След като си осигури администраторски права, SteelFox създава услуга, която изпълнява вътре WinRing0.sys – драйвер, уязвим към CVE-2020-14979 и CVE-2021-41285, който може да бъде използван, за да се получи повишаване на привилегиите до ниво NT/SYSTEM.
Такива права са най-високите в локалната система, по-мощни от тези на администратор и позволяват неограничен достъп до всеки ресурс и процес.
Драйверът WinRing0.sys се използва и за добив на криптовалута, тъй като е част от програмата XMRig за добив на криптовалута Monero. Изследователите на Kaspersky казват, че заплахата използва модифицирана версия на изпълнимия файл на миньора, който се свързва с пул за добив с твърдо кодирани идентификационни данни.
След това зловредният софтуер установява връзка със своя сървър за управление и контрол (C2), като използва SSL пининг и TLS v1.3, което защитава комуникацията от прихващане.
Той също така активира компонента info-stealer, който извлича данни от 13 уеб браузъра, информация за системата, мрежата и RDP връзката.
Изследователите отбелязват, че SteelFox събира от браузърите данни като кредитни карти, история на сърфирането и бисквитки.
Kaspersky казва, че въпреки че домейнът C2, който SteelFox използва, е твърдо кодиран, заплахата успява да го скрие, като сменя своите IP адреси и ги разрешава чрез Google Public DNS и DNS over HTTPS (DoH). Атаките на SteelFox нямат конкретни цели, но изглежда се фокусират върху потребителите на AutoCAD, JetBrains и Foxit PDF Editor.
Въз основа на видимостта на Kaspersky зловредният софтуер компрометира системи в Бразилия, Китай, Русия, Мексико, ОАЕ, Египет, Алжир, Виетнам, Индия и Шри Ланка. Въпреки че SteelFox е сравнително нов, „той е пълнофункционален криминален пакет“, казват изследователите.
Анализът на зловредния софтуер показва, че разработчикът му е опитен в програмирането на C++ и е успял да създаде внушителен зловреден софтуер чрез интегриране на външни библиотеки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.