Kaspersky je identifikovao opasnu novu prijetnju pod nazivom SteelFox, malver koji cilja Windows računare kako bi rudario kriptovalute i krao informacije o kreditnim karticama. Koristeći sofisticiranu tehniku „koristi sopstveni ranjivi drajver,“ SteelFox stiče sistemske privilegije eksploatišući ranjive drajvere, što mu omogućava visok nivo napada i čini ga ozbiljnom prijetnjom po sajber bezbjednost.
Kako SteelFox funkcioniše: distribucija i ranjivosti
SteelFox se distribuira kao dropper na forumima i torrent sajtovima, gdje se predstavlja kao alat za ilegalno aktiviranje legitimnog softvera kao što su Foxit PDF Editor, JetBrains i AutoCAD. Prikazujući se kao alat za aktivaciju, malver obmanjuje korisnike koji ga preuzimaju, čime mu daju pristup svojim sistemima.
Eksploatisanje ranjivih drajvera za esklaciju privilegija je uobičajena tehnika koju koriste hakerske grupe sponzorisane od strane država i ransomware napadači. Kaspersky je prvi put otkrio SteelFox u avgustu, iako dokazi pokazuju da je malver aktivan još od februara prethodne godine. Nedavno je pronađen na torrent-ima, blogovima i forumima, gdje se širi sve većem broju korisnika.
Statistika napada i Kaspersky-jeva odbrana
Do sada je Kaspersky blokirao više od 11.000 SteelFox napada. Malver se pojavljuje u online postovima koji nude uputstva za ilegalno aktiviranje legitimnog softvera. Iako SteelFox dropper omogućava aktivaciju, on ujedno kompromituje bezbjednost sistema tako što ga inficira.
Da bi instalirao malver, SteelFox dobija administratorski pristup kako bi mijenjao fajlove u Program Files. Zatim pokreće ranjivi drajver pod nazivom WinRing0.sys, koji je pogođen ranjivostima CVE-2020-14979 i CVE-2021-41285. Korišćenjem ovih ranjivosti, malver dobija više sistemske privilegije, čak veće od administratorskih, što mu omogućava neograničen pristup ključnim resursima.
Rudarenje kriptovalute i krađa informacija
Drajver WinRing0.sys je ključan za SteelFox-ove operacije rudarenja kriptovaluta, jer uključuje XMRig, program za rudarenje Monera. Pored aktivnosti rudarenja, SteelFox aktivira modul za krađu podataka koji prikuplja informacije sa 13 popularnih web pregledača. To uključuje osketljive podatke kao što su informacije o kreditnim karticama, istorija pretrage i kolačići. Malver takođe prikuplja mrežne, sistemske i RDP podatke o povezivanju, čime proširuje domet unutar zaraženih sistema.
SteelFox-ov ciljani softver i regioni
Iako SteelFox ne cilja specifične pojedince, fokusira se prvenstveno na korisnike AutoCAD-a, JetBrains-a i Foxit PDF Editora. Malver ima širok geografski domet, a najveći broj napada prijavljen je u Brazilu, Kini, Rusiji, Meksiku, UAE, Egiptu, Alžiru, Vijetnamu, Indiji i Šri Lanki.
Kako se zaštititi od SteelFox-a
SteelFox naglašava sve veću opasnost od malvera za rudarenje kriptovaluta i malvera za krađu informacija u sajber svijetu. Korisnicima se preporučuje da softver preuzimaju isključivo sa provjerenih izvora i da izbjegavaju alate za aktivaciju pronađene na torrent-ima ili forumima. Ažuriranje sistema i korišćenje sveobuhvatnih sigurnosnih rješenja, poput Kaspersky-ja, mogu pomoći u zaštiti od prijetnji poput SteelFox-a.
Ključne tačke:
- SteelFox Malver: Rudari kriptovalute i krade podatke o kreditnim karticama na Windows sistemima.
- Distribucija: Širi se putem torrent-a, foruma i blogova, prerušen kao alat za aktivaciju softvera.
- Korišćene tehnike: Eksploatiše ranjive drajvere (CVE-2020-14979, CVE-2021-41285) za eskalaciju privilegija.
- Rudarenje kriptovaluta: Koristi XMRig za rudarenje Monera.
- Krađa podataka: Krade podatke iz pregledača, informacije o kreditnim karticama i mrežne informacije.
- Geografski uticaj: Najveći broj napada prijavljen u Brazilu, Kini, Rusiji, Meksiku i UAE.
Za organizacije i pojedince, oprez pri korišćenju SteelFox-a može spriječiti neovlašćen pristup i krađu podataka na Windows sistemima.