Новости Активатор с двойным дном: SteelFox получает доступ к админским привилегиям

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Вредонос выходит на глобальный уровень, атакуя пользователей в 10 странах.


08cgtek6gqiu81rn7vnswqd10zxw6j8o.jpg


Новый вредоносный пакет SteelFox Для просмотра ссылки Войди или Зарегистрируйся предлагая пользователям нелегальную активацию таких программ, как Foxit PDF Editor, JetBrains и AutoCAD. SteelFox не только майнит криптовалюту Monero, но и крадёт данные кредитных карт, используя уязвимые драйверы для повышения привилегий на системах Windows.

SteelFox, выявленный в августе исследователями из «Лаборатории Касперского», появился ещё в феврале 2023 года, однако сейчас его активное распространение заметно усилилось. За последние месяцы продукты компании зафиксировали и заблокировали более 11 000 попыток заражения этим ПО.


wdtx3we89xie551ebl0nbwf4ls4a6zmn.png


SteelFox использует технику BYOVD , которая ранее была характерна для действий киберпреступников, спонсируемых государством, а также групп, занимающихся вымогательством. В данном случае вредоносный софт эксплуатирует уязвимости Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.8) и Для просмотра ссылки Войди или Зарегистрируйся (CVSS 7.8), чтобы получить максимальный уровень привилегий NT/SYSTEM на заражённой системе.


puw32q4ctnldmko97lq9jl8iua8r6pee.png


После получения админских прав SteelFox создаёт сервис для запуска драйвера «WinRing0.sys», обеспечивая себе полный контроль над системой. Также этот драйвер используется для криптомайнинга благодаря встроенной поддержке программы XMRig. Для обеспечения связи с командным сервером SteelFox применяет SSL-пиннинг и TLS 1.3, что делает перехват данных затруднительным.

Кроме криптомайнинга, SteelFox выполняет функцию кражи информации, собирая данные из 13 веб-браузеров, а также системную и сетевую информацию. Среди похищаемых данных — кредитные карты, история посещений и куки, что представляет серьёзную угрозу для конфиденциальности пользователей.

Инфраструктура управления SteelFox опирается на скрытые домены, адреса которых периодически меняются через Google Public DNS и DNS over HTTPS (DoH). Хотя этот вредоносный софт не нацелен на конкретные страны, эксперты «Лаборатории Касперского» отмечают его активность в Бразилии, Китае, России, Мексике, ОАЭ, Египте, Алжире, Вьетнаме, Индии и Шри-Ланке.

SteelFox, несмотря на свою недавнюю активность, уже демонстрирует высокую функциональность, что подтверждает уровень мастерства разработчика, интегрировавшего в ПО внешние библиотеки и продвинутые функции.
 
Источник новости
www.securitylab.ru