O nouă amenințare cibernetică numită ‘SteelFox’ a fost descoperită recent, având capacitatea de a exploata drivere vulnerabile pentru a obține privilegii de sistem pe calculatoarele cu Windows.
Acest pachet de malware este distribuit sub forma unui instrument de crack ce activează versiuni legitime ale unor software-uri precum Foxit PDF Editor, JetBrains și AutoCAD, fiind găzduit pe forumuri și tracker-e de torrente.
Utilizarea unui driver vulnerabil pentru escaladarea privilegiilor este o tactică des întâlnită printre grupurile de ransomware și actorii de amenințare sponsorizați de stat. Cu toate acestea, tehnica pare să fie acum folosită și în atacuri de tip info-stealing.
Specialiștii de la Kaspersky au descoperit campania SteelFox în luna august, menționând că acest malware circulă de pe vremea lunii februarie 2023 și a început să fie distribuit intens în ultima perioadă folosind multiple canale (torrente, bloguri, forumuri).
Conform companiei, produsele lor au detectat și blocat peste 11.000 de atacuri SteelFox.
Postările malitioase care promovează bundle-ul de malware SteelFox vin însoțite de instrucțiuni complete despre cum se pot activa ilegal anumite softuri. Într-un exemplu de postare se oferă instrucțiuni pentru activarea JetBrains.
Specialiștii spun că, deși instrumentul de crack are funcționalitatea promisă, utilizatorii își infectează și sistemele cu malware.
Odată ce software-ul vizat pentru activare ilegală este instalat în Program Files, adăugarea crack-ului necesită acces de administrator, permisiune pe care malware-ul o folosește ulterior în atac.
Specialiștii Kaspersky spun că ‘lanțul de execuție pare legitim până în momentul în care fișierele sunt dezarhivate.’ Aceștia explică că o funcție malitioasă este adăugată în proces, care descarcă cod pe mașină care încarcă SteelFox.
Având drepturi de administrator asigurate, SteelFox creează un serviciu care rulează WinRing0.sys, un driver vulnerabil la CVE-2020-14979 și CVE-2021-41285, care pot fi exploatate pentru a obține escaladare de privilegii la nivelul NT/SYSTEM.
Astfel de permisiuni sunt cele mai înalte pe un sistem local, mai puternice decât cele ale unui administrator, și permit acces nelimitat la orice resursă și proces.
Driverul WinRing0.sys este de asemenea folosit pentru minerit de criptomonede, fiind parte a programului XMRig pentru extragerea criptomonedei Monero. Specialiștii Kaspersky spun că actorul de amenințare folosește o versiune modificată a executabilului minerului care se conectează la un pool de minerit cu credențiale hardcodate.
Malware-ul stabilește apoi o conexiune cu serverul său de comandă și control (C2) folosind SSL pinning și TLS v1.3, ceea ce protejează comunicarea împotriva interceptării.
De asemenea, activează componenta de info-stealing care extrage date din 13 browsere web, informații despre sistem, rețea și conexiune RDP.
Specialiștii remarcă că SteelFox colectează din browsere date precum carduri de credit, istoricul de navigare și cookie-uri.
Kaspersky menționează că, deși domeniul C2 folosit de SteelFox este hardcodat, actorul de amenințare reușește să-l ascundă schimbând adresele IP și rezolvându-le prin Google Public DNS și DNS over HTTPS (DoH).
Atacurile SteelFox nu au ținte specifice, dar se pare că vizează utilizatorii de AutoCAD, JetBrains și Foxit PDF Editor. Bazat pe vizibilitatea Kaspersky, malware-ul compromite sisteme în Brazilia, China, Rusia, Mexic, Emiratele Arabe Unite, Egipt, Algeria, Vietnam, India și Sri Lanka.
Deși SteelFox este destul de nou, ‘este un pachet de crimeware complet,’ spun specialiștii. Analiza malware-ului indică faptul că dezvoltatorul său este priceput în programarea C++ și a reușit să creeze un malware formidabil prin integrarea de biblioteci externe.
Leave a Reply