Ένα νέο malware που ονομάζεται «SteelFox» εξορύσσει κρυπτονομίσματα και κλέβει δεδομένα πιστωτικών καρτών χρησιμοποιώντας την τεχνική «bring your own vulnerable driver» για απόκτηση προνομίων SYSTEM σε μηχανήματα Windows.
Δείτε επίσης: ΗΠΑ: Κατηγορίες εναντίον Ρώσου για δημιουργία του RedLine malware
Το dropper bundle malware διανέμεται μέσω φόρουμ και torrent trackers ως crack tool που ενεργοποιεί νόμιμες εκδόσεις διαφόρων λογισμικών όπως το Foxit PDF Editor, το JetBrains και το AutoCAD.
Η χρήση ενός ευάλωτου προγράμματος driver για την κλιμάκωση των προνομίων είναι συνηθισμένη για φορείς απειλών και ομάδες ransomware που χρηματοδοτούνται από το κράτος. Ωστόσο, η τεχνική φαίνεται τώρα να επεκτείνεται σε επιθέσεις κακόβουλου λογισμικού κλοπής πληροφοριών.
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Οι ερευνητές της Kaspersky ανακάλυψαν την καμπάνια SteelFox malware τον Αύγουστο, αλλά λένε ότι το κακόβουλο λογισμικό υπάρχει από τον Φεβρουάριο του 2023 και έχει αυξήσει τη διανομή του πρόσφατα χρησιμοποιώντας πολλά κανάλια (π.χ. torrents, ιστολόγια και αναρτήσεις σε φόρουμ).
Σύμφωνα με την εταιρεία, τα προϊόντα της εντόπισαν και απέκλεισαν επιθέσεις SteelFox 11.000 φορές.
Η Kaspersky αναφέρει ότι κακόβουλες αναρτήσεις που προωθούν το dropper SteelFox συνοδεύονται από πλήρεις οδηγίες σχετικά με τον τρόπο παράνομης ενεργοποίησης του λογισμικού. Παρακάτω είναι ένα δείγμα μιας τέτοιας ανάρτησης που παρέχει οδηγίες σχετικά με τον τρόπο ενεργοποίησης του JetBrains:
Δείτε επίσης: Οι Ρώσοι hackers UNC5812 στοχεύουν Ουκρανούς στρατιώτες με malware
Οι ερευνητές λένε ότι ενώ το dropper του SteelFox malware έχει τη διαφημιζόμενη λειτουργικότητα, οι χρήστες μολύνουν επίσης τα συστήματά τους με κακόβουλο λογισμικό.
Εφόσον το λογισμικό που προορίζεται για παράνομη ενεργοποίηση εγκαθίσταται συνήθως στα Αρχεία Προγράμματος, η προσθήκη του crack απαιτεί πρόσβαση διαχειριστή, μια άδεια που χρησιμοποιεί το κακόβουλο λογισμικό αργότερα στην επίθεση.
Οι ερευνητές της Kaspersky λένε ότι «η αλυσίδα εκτέλεσης φαίνεται νόμιμη μέχρι τη στιγμή που αποσυσκευάζονται τα αρχεία». Εξηγούν ότι κατά τη διαδικασία προστίθεται μια κακόβουλη λειτουργία, η οποία πέφτει στον κώδικα του μηχανήματος που φορτώνει το SteelFox.
Έχοντας εξασφαλίσει δικαιώματα διαχειριστή, το SteelFox malware δημιουργεί μια υπηρεσία που εκτελεί το WinRing0.sys, ένα πρόγραμμα οδήγησης ευάλωτο σε CVE-2020-14979 και CVE-2021-41285, το οποίο μπορεί να αξιοποιηθεί για την απόκτηση κλιμάκωσης προνομίων σε επίπεδο NT/SYSTEM.
Τέτοια δικαιώματα είναι τα υψηλότερα σε ένα τοπικό σύστημα, πιο ισχυρά από τα δικαιώματα ενός διαχειριστή και επιτρέπουν απεριόριστη πρόσβαση σε οποιονδήποτε πόρο και διαδικασία.
Δείτε επίσης: WarmCookie malware: Μολύνει χρήστες μέσω malvertising / malspam καμπανιών
Τα malware, όπως το SteelFox, είναι λογισμικά που έχουν σχεδιαστεί για να προκαλέσουν σκόπιμη βλάβη σε υπολογιστές, διακομιστές ή δίκτυα υπολογιστών. Παίρνουν διάφορες μορφές, όπως ιοί, worm, trojans, spyware, adware και ransomware. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτά τα προγράμματα για να κλέψουν ευαίσθητες πληροφορίες, να διακόψουν λειτουργίες ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Το κακόβουλο λογισμικό μπορεί να εισέλθει σε ένα σύστημα μέσω συνημμένων email, λήψεων λογισμικού ή επίσκεψης σε μολυσμένους ιστότοπους. Η προστασία από κακόβουλο λογισμικό απαιτεί συνδυασμό λογισμικού προστασίας από ιούς, τακτικών ενημερώσεων συστήματος και πρακτικών ασφαλούς περιήγησης.
Πηγή: bleepingcomputer