Ένα νέο κακόβουλο πακέτο που ονομάζεται «SteelFox» εξορύσσει κρυπτονομίσματα και κλέβει δεδομένα πιστωτικών καρτών χρησιμοποιώντας την τεχνική «φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης» για να αποκτήσετε προνόμια SYSTEM σε μηχανήματα Windows.
Το dropper bundle malware διανέμεται μέσω φόρουμ και torrent trackers ως εργαλείο σπασίματος που ενεργοποιεί νόμιμες εκδόσεις διαφόρων λογισμικών όπως το Foxit PDF Editor, το JetBrains και το AutoCAD.
Η χρήση ενός ευάλωτου προγράμματος οδήγησης για την κλιμάκωση των προνομίων είναι συνηθισμένη για φορείς απειλών και ομάδες ransomware που χρηματοδοτούνται από το κράτος. Ωστόσο, η τεχνική φαίνεται τώρα να επεκτείνεται σε επιθέσεις κακόβουλου λογισμικού κλοπής πληροφοριών.
Οι ερευνητές της Kaspersky ανακάλυψαν την καμπάνια SteelFox τον Αύγουστο, αλλά λένε ότι το κακόβουλο λογισμικό υπάρχει από τον Φεβρουάριο του 2023 και αύξησε τη διανομή πρόσφατα χρησιμοποιώντας πολλά κανάλια (π.χ. torrents, ιστολόγια και αναρτήσεις σε φόρουμ).
Σύμφωνα με την εταιρεία, τα προϊόντα της εντόπισαν και απέκλεισαν επιθέσεις SteelFox 11.000 φορές.
Πηγή: Kaspersky
Μόλυνση SteelFox και κλιμάκωση προνομίων
Kaspersky εκθέσεις ότι οι κακόβουλες αναρτήσεις που προωθούν το σταγονόμετρο κακόβουλου λογισμικού SteelFox συνοδεύονται από πλήρεις οδηγίες σχετικά με τον τρόπο παράνομης ενεργοποίησης του λογισμικού. Παρακάτω είναι ένα δείγμα μιας τέτοιας ανάρτησης που παρέχει οδηγίες σχετικά με τον τρόπο ενεργοποίησης του JetBrains:
Πηγή: Kaspersky
Οι ερευνητές λένε ότι ενώ το dropper έχει τη διαφημιζόμενη λειτουργικότητα, οι χρήστες μολύνουν επίσης τα συστήματά τους με κακόβουλο λογισμικό.
Εφόσον το λογισμικό που προορίζεται για παράνομη ενεργοποίηση εγκαθίσταται συνήθως στα Αρχεία Προγράμματος, η προσθήκη της ρωγμής απαιτεί πρόσβαση διαχειριστή, μια άδεια που χρησιμοποιεί το κακόβουλο λογισμικό αργότερα στην επίθεση.
Πηγή: Kaspersky
Οι ερευνητές της Kaspersky λένε ότι «η αλυσίδα εκτέλεσης φαίνεται νόμιμη μέχρι τη στιγμή που αποσυσκευάζονται τα αρχεία». Εξηγούν ότι κατά τη διαδικασία προστίθεται μια κακόβουλη λειτουργία, η οποία πέφτει στον κώδικα του μηχανήματος που φορτώνει το SteelFox.
Έχοντας εξασφαλίσει δικαιώματα διαχειριστή, η SteelFox δημιουργεί μια υπηρεσία που εκτελείται WinRing0.sys στο εσωτερικό, ένα πρόγραμμα οδήγησης ευάλωτο σε CVE-2020-14979 και CVE-2021-41285, το οποίο μπορεί να αξιοποιηθεί για την απόκτηση κλιμάκωσης προνομίων σε επίπεδο NT/SYSTEM.
Τέτοια δικαιώματα είναι τα υψηλότερα σε ένα τοπικό σύστημα, πιο ισχυρά από τα δικαιώματα ενός διαχειριστή και επιτρέπουν απεριόριστη πρόσβαση σε οποιονδήποτε πόρο και διαδικασία.
Το πρόγραμμα οδήγησης WinRing0.sys χρησιμοποιείται επίσης για εξόρυξη κρυπτονομισμάτων, καθώς αποτελεί μέρος του προγράμματος XMRig για την εξόρυξη κρυπτονομισμάτων Monero. Οι ερευνητές της Kaspersky λένε ότι ο παράγοντας απειλής χρησιμοποιεί μια τροποποιημένη έκδοση του εκτελέσιμου αρχείου εξόρυξης που συνδέεται με μια πισίνα εξόρυξης με σκληρά κωδικοποιημένα διαπιστευτήρια.
Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί μια σύνδεση με τον διακομιστή εντολών και ελέγχου (C2) χρησιμοποιώντας καρφίτσωμα SSL και TLS v1.3, το οποίο προστατεύει την επικοινωνία από την υποκλοπή.
Ενεργοποιεί επίσης το στοιχείο info-stealer που εξάγει δεδομένα από 13 προγράμματα περιήγησης ιστού, πληροφορίες σχετικά με το σύστημα, το δίκτυο και τη σύνδεση RDP.
Πηγή: Kaspersky
Οι ερευνητές σημειώνουν ότι η SteelFox συλλέγει από τα προγράμματα περιήγησης δεδομένα όπως πιστωτικές κάρτες, ιστορικό περιήγησης και cookies.
Η Kaspersky λέει ότι παρόλο που ο τομέας C2 που χρησιμοποιεί το SteelFox είναι κωδικοποιημένος, ο παράγοντας απειλής καταφέρνει να τον κρύψει αλλάζοντας τις διευθύνσεις IP του και επιλύοντάς τες μέσω του Google Public DNS και DNS μέσω HTTPS (DoH).
Οι επιθέσεις SteelFox δεν έχουν συγκεκριμένους στόχους, αλλά φαίνεται να επικεντρώνονται στους χρήστες του AutoCAD, του JetBrains και του Foxit PDF Editor. Με βάση την ορατότητα της Kaspersky, το κακόβουλο λογισμικό υπονομεύει συστήματα στη Βραζιλία, την Κίνα, τη Ρωσία, το Μεξικό, τα Ηνωμένα Αραβικά Εμιράτα, την Αίγυπτο, την Αλγερία, το Βιετνάμ, την Ινδία και τη Σρι Λάνκα.
Αν και το SteelFox είναι αρκετά νέο, “είναι μια δέσμη λογισμικού με πλήρη χαρακτηριστικά”, λένε οι ερευνητές. Η ανάλυση του κακόβουλου λογισμικού δείχνει ότι ο προγραμματιστής του είναι ειδικευμένος στον προγραμματισμό C++ και κατάφεραν να δημιουργήσουν τρομερό κακόβουλο λογισμικό ενσωματώνοντας εξωτερικές βιβλιοθήκες.
VIA: bleepingcomputer.com
