Hakeri prvenstveno ciljaju Windows sisteme zbog njihovog značajnog udjela na tržištu: preko 80% desktop operativnih sistema pokreće Windows.
Ne samo da je čak skoro 50% hakera narušilo Windows sisteme više nego bilo koji drugi OS.
Kaspersky istraživači su nedavno otkrili novi maliciozni softver nazvan “SteelFox”, koji je zarazio više od 11000 Windows sistema kao softverski aktivatori.
SteelFox je sofisticirani maliciozni softver uočen u avgustu 2024. Distribuiše se preko brojnih foruma, torrent trackera i blogova kao krek ili aktivator za dobro poznate softverske aplikacije poput Foxit PDF Editor ili AutoCAD.
Maliciozni softver usvaja sofisticirani lanac izvršavanja, uključujući tehnike kodiranja ljuske, kako bi zarazio ciljne sisteme. Nakon instalacije, SteelFox koristi Windows usluge i drajvere kako bi opstao i povećao privilegije.
Vektor zaraze u prvoj fazi koristi izvršnu datoteku dropper koja tvrdi da je legitiman crack za softver, ali u stvarnosti preuzima maliciozni teret i izvršava ga na sistemu.
Za njegovo izvršavanje kao Windows servis koristi se posebna procedura, koja mu omogućava rad sa SYSTEM privilegijama.
Krađa kredencijala i podataka o kreditnim karticama su ključne funkcije SteelFoxa, koje uključuju krađu informacija o kreditnoj kartici sa uređaja putem modula za krađu, navodi se u izvještaju Kasperskyja .
Maliciozni softver, koji komunicira sa C2 serverom koristeći SSL pričvršćivanje i TLSv1.3 protokol, dizajniran je uz Boost. Asio biblioteka koristi brzu promjenu IP-a i promjenjivu domenu kako bi izbjegla otkrivanje.
Nadalje, infekcija sadrži mogućnost stjecanja viših privilegija na zaraženom sistemu putem narušenog drajvera.
Kasperskyjev sigurnosni paket proizvoda smatra ovu prijetnju kao HEUR:Trojan.Win64.SteelFox.gen i Trojan.Win64.SteelFox.*.
SteelFox zlonamjerni softver radi u više faza. Prvo, kreira nasumično imenovan mutex kako bi omogućio svoju višenitnu mrežnu komunikaciju.
Zatim instalira uslugu sa ranjivim WinRing0.sys drajverom, koji omogućava malicioznom softveru da komunicira sa i podiže privilegije na zaraženom sistemu. Poznato je da ovaj zastarjeli drajver ima sigurnosne propuste koje SteelFox iskorišćava.
Zatim, SteelFox rješava tvrdo kodiranu C2 domenu koristeći Google-ov DNS preko HTTPS-a kako bi sakrio rezoluciju domene, a zatim se povezuje na C2 server koristeći TLS 1.3 vezu osiguranu SSL-om.
Nakon uspostavljanja veze, modul za krađu malicioznog softvera izvlači veliku količinu osjetljivih podataka od korisnika, uključujući kolačiće pretraživača korisnika, kreditne kartice, historiju posjećenih web stranica, instalirane aplikacije, specifikacije operativnog sistema, mrežne parametre itd.
Ove informacije se šalju napadačevom komandno-kontrolnom serveru preko izuzetno lošeg tereta koji se sastoji od JSON datoteka.
SteelFox pokreće operaciju bez diskriminacije i inficira pretraživače korisnika koji pokušavaju koristiti lažni AutoCAD, JetBrains, Foxit ili druge slične programe.
Nisu doneseni nikakvi detaljni zaključci, i ne samo to, već nije napravljena ni jasna atribucija za ovu konkretnu kampanju.
Izvor: CyberSecurityNews
