Noul malware SteelFox a infectat peste 11.000 de sisteme Windows
Sursă: https://cybersecuritynews.com
Specialiștii au identificat recent un nou malware denumit SteelFox, care a infectat mai mult de 11.000 de sisteme Windows ca activatori de software.
SteelFox este un malware complex depistat în august 2024. Este distribuit prin numeroase forumuri, trackere torrent și bloguri drept crack sau activator pentru aplicații software cunoscute, precum Foxit PDF Editor sau AutoCAD.
Programul malware adoptă un lanț de execuție sofisticat, inclusiv tehnici de codare shell, pentru a infecta sistemele țintă. După instalare, SteelFox utilizează serviciile și driverele Windows pentru a persista și a escalada privilegiile.
Vectorul de infectare din prima etapă utilizează un executabil dropper care pretinde a fi un crack legitim pentru software, dar, în realitate, descarcă un payload malițios și îl rulează pe sistem.
O procedură specială este utilizată pentru a-l executa ca serviciu Windows, ceea ce îi permite să funcționeze cu privilegii SYSTEM.
Malware-ul, care comunică cu serverul C2 folosind pinning-ul SSL și protocolul TLSv1.3, este proiectat cu biblioteca Boost. Biblioteca Asio utilizează un IP care se schimbă rapid și un domeniu care se schimbă pentru a evita detectarea.
Programul malware SteelFox funcționează în mai multe etape. În primul rând, acesta creează un mutex numit aleatoriu pentru a permite comunicarea sa în rețea cu mai multe domenii.
Apoi instalează un serviciu cu un driver WinRing0.sys vulnerabil, care permite malware-ului să comunice cu sistemul infectat și să ridice privilegiile acestuia. Acest driver este cunoscut ca având vulnerabilități de securitate pe care SteelFox le exploatează.
În continuare, SteelFox realizează rezoluția unui domeniu C2 hardcoded utilizând DNS-ul Google peste HTTPS pentru a masca rezoluția domeniului și apoi se conectează la serverul C2 utilizând o conexiune TLS 1.3 securizată cu SSL pinning.
După stabilirea unei legături, modulul stealer al malware-ului extrage un volum mare de date sensibile de la utilizator, inclusiv cookie-urile din browserul utilizatorului, cardurile de credit, istoricul site-urilor web vizitate, aplicațiile instalate, specificațiile sistemului de operare, parametrii de rețea etc.
Aceste informații sunt trimise către serverul de comandă și control al atacatorului prin intermediul unui payload malițios, constând în fișiere JSON.
SteelFox începe exploatarea și infectează browserele utilizatorilor care încearcă să utilizeze programe malițioase AutoCAD, JetBrains, Foxit sau alte asemenea programe.
Sursă: https://cybersecuritynews.com/steelfox-malware-infects-11k-windows/
