Kripto para birimi için 'Steelfox' madenleri adı verilen yeni bir kötü niyetli paket, Windows makinelerinde sistem ayrıcalıklarını elde etmek için “kendi savunmasız sürücünüzü getir” tekniğini kullanarak kredi kartı verilerini çalar.
Kötü amaçlı yazılım paketi damlası, Foxit PDF Editor, JetBrains ve AutoCAD gibi çeşitli yazılımların meşru sürümlerini etkinleştiren bir çatlak aracı olarak forumlar ve torrent izleyicileri aracılığıyla dağıtılır.
Ayrıcalık artışı için savunmasız bir sürücü kullanmak, devlet destekli tehdit aktörleri ve fidye yazılımı grupları için yaygındır. Bununla birlikte, tekniğin artık bilgi yönlendiren kötü amaçlı yazılım saldırılarına yayıldığı görülmektedir.
Kaspersky araştırmacıları Ağustos ayında Steelfox kampanyasını keşfetti, ancak kötü amaçlı yazılımın Şubat 2023'ten beri var olduğunu ve son zamanlarda birden fazla kanal (örneğin torrentler, bloglar ve forumlardaki yayınlar) kullanarak artan dağıtım olduğunu söylüyor.
Şirkete göre, ürünleri Steelfox saldırılarını 11.000 kez tespit etti ve engelledi.
Kaspersky, Steelfox kötü amaçlı yazılım damlasını tanıtan kötü niyetli yayınların yazılımı yasadışı bir şekilde nasıl etkinleştireceğine dair eksiksiz talimatlarla birlikte geldiğini bildiriyor. Aşağıda, jetbrainlerin nasıl etkinleştirileceğine dair talimatlar sağlayan böyle bir yazının bir örneği verilmiştir:
Araştırmacılar, damlalıkların reklamı yapılan işlevlere sahip olsa da, kullanıcıların sistemlerini kötü amaçlı yazılımlarla bulaştığını söylüyor.
Yasadışı aktivasyon için hedeflenen yazılım genellikle program dosyalarına yüklendiğinden, çatlak eklemek, kötü amaçlı yazılımın saldırıda daha sonra kullandığı bir izin olan yönetici erişimi gerektirir.
Kaspersky araştırmacıları, "yürütme zincirinin dosyaların açıldığı ana kadar meşru göründüğünü" söylüyor. İşlem sırasında steelfox yükleyen makine koduna düşen kötü niyetli bir işlevin eklendiğini açıklarlar.
Yönetici haklarını güvence altına alan Steelfox, Winring0.sys Inside, CVE-2020-14979 ve CVE-2021-41285'e karşı savunmasız bir sürücü oluşturur ve bu da NT/Sistem Düzeyine ayrıcalık artışı elde etmek için kullanılabilir.
Bu tür izinler, yerel bir sistemdeki en yüksek, bir yöneticininkinden daha güçlüdür ve herhangi bir kaynak ve sürece sınırsız erişime izin verir.
Winring0.SYS sürücüsü, Monero kripto para madenciliği için XMRIG programının bir parçası olduğu için kripto para madenciliği için de kullanılır. Kaspersky araştırmacıları, tehdit oyuncusunun, madencilik yürütülebilir dosyanın bir madencilik havuzuna sert kodlanmış kimlik bilgileriyle bağlanan değiştirilmiş bir versiyonunu kullandığını söylüyor.
Kötü amaçlı yazılım daha sonra, iletişimi ele geçirilmesini önleyen SSL Pinning ve TLS V1.3 kullanarak komut ve kontrol (C2) sunucusuyla bir bağlantı kurar.
Ayrıca 13 Web tarayıcısından veri, sistem, ağ ve RDP bağlantısı hakkında bilgi çıkaran Info-Stealer bileşenini de etkinleştirir.
Araştırmacılar, Steelfox'un kredi kartları, tarama geçmişi ve çerezler gibi tarayıcılar verilerinden topladığını belirtiyor.
Kaspersky, C2 Domain Steelfox kullanımının sabit kodlanmış olmasına rağmen, tehdit aktörünün IP adreslerini değiştirerek ve Google Public DNS ve DNS üzerinden HTTPS (DOH) üzerinden çözerek gizlemeyi başardığını söylüyor.
Steelfox saldırılarının belirli hedefleri yoktur, ancak AutoCAD, JetBrains ve Foxit PDF editörü kullanıcılarına odaklanmış gibi görünmektedir. Kaspersky'nin görünürlüğüne dayanarak, kötü amaçlı yazılım, Brezilya, Çin, Rusya, Meksika, BAE, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka'daki sistemleri tehlikeye atar.
Araştırmacılar, Steelfox oldukça yeni olmasına rağmen, "tam özellikli bir Kırım demeti" diyor. Kötü amaçlı yazılımların analizi, geliştiricisinin C ++ programlamasında yetenekli olduğunu ve harici kütüphaneleri entegre ederek zorlu kötü amaçlı yazılımlar oluşturmayı başardıklarını gösterir.
ABD tarafından Redline Infostealer kötü amaçlı yazılım oluşturmak için ücretlendirilen Rusça
Infostealer kötü amaçlı yazılım, Chrome’un yeni çerez-çalı savunmasını atlar
Sahte Google Buluşma Konferansı Hataları İthalat Efsanesi Kötü Yazılım
Ukraynalı, faaliyet gösteren rakun stealer kötü amaçlı yazılımdan suçlu bulunuyor
Global Infostealer kötü amaçlı yazılım işlemi kripto kullanıcılarını, oyuncuları hedefliyor
Kaynak: Bleeping Computer