SteelFox-Malware
Ein neues Bedrohungspaket namens SteelFox wurde entdeckt. Es zielt auf Windows-Systeme ab, um Kryptowährungen zu schürfen und Kreditkarteninformationen zu sammeln. Die Malware verwendet eine Technik namens „Bring Your Own Vulnerable Driver“, um die Berechtigungen auf die SYSTEM-Ebene zu erhöhen und so Sicherheitsmaßnahmen zu umgehen.
Die Malware wird hauptsächlich über Foren und Torrent-Sites verbreitet, wo sie sich als Crack-Tool tarnt, das legitime Software wie Foxit PDF Editor, JetBrains und AutoCAD aktiviert. Die Verwendung anfälliger Treiber zur Rechteausweitung ist eine Taktik, die häufig mit staatlich geförderten Bedrohungsakteuren und Ransomware-Gruppen in Verbindung gebracht wird. Dennoch scheint sie nun auch von Malware-Kampagnen zum Sammeln von Informationen übernommen zu werden.
Forscher identifizierten den SteelFox-Vorgang erstmals im August, stellten jedoch fest, dass die Malware seit Februar 2023 aktiv ist. Ihre Verbreitung hat in den letzten Monaten über verschiedene Kanäle zugenommen, darunter Torrents, Blogs und Forenbeiträge.
Inhaltsverzeichnis
SteelFox-Infektion und Rechteausweitung
Berichten zufolge enthalten Beiträge, die für den SteelFox-Malware-Dropper werben, häufig detaillierte Anweisungen zur illegalen Aktivierung von Software. Ein solcher Beitrag bietet beispielsweise eine Schritt-für-Schritt-Anleitung zur Aktivierung von JetBrains. Obwohl der Dropper die beworbene Funktion der Aktivierung der Software tatsächlich ausführt, infizieren Benutzer dabei versehentlich ihre Systeme mit Malware.
Da die Zielsoftware normalerweise in den Programmdateien installiert ist, erfordert das Hinzufügen des Cracks Administratorzugriff, den die Malware bei ihrem Angriff ausnutzt. Forscher stellen fest, dass der Installationsprozess bis zu dem Punkt, an dem die Dateien entpackt werden, legitim erscheint. In dieser Phase wird eine unsichere Funktion eingeführt, die dann den Code ablegt, der für das Laden von SteelFox auf das System verantwortlich ist.
Ausnutzung anfälliger Treiber
Sobald SteelFox über Administratorrechte verfügt, installiert es einen Dienst, der WinRing0.sys ausführt, einen anfälligen Treiber, der für CVE-2020-14979 und CVE-2021-41285 anfällig ist. Diese Schwachstellen ermöglichen es der Malware, ihre Rechte auf die Ebene NT/SYSTEM zu erhöhen und ihr damit die höchste Zugriffsebene auf das System zu gewähren – wirksamer als Administratorrechte. Diese Zugriffsebene ermöglicht es der Malware, jede Systemressource oder jeden Prozess frei zu manipulieren.
Neben der Rechteausweitung wird der Treiber WinRing0.sys auch beim Mining von Kryptowährungen verwendet. Er ist Teil des XMRig- Miners, der Monero abbaut. Der Angreifer setzt eine modifizierte Version dieses Miners ein, die so konfiguriert ist, dass sie sich mit fest codierten Anmeldeinformationen mit einem Mining-Pool verbindet.
Die Malware stellt außerdem eine sichere Verbindung mit ihrem Command-and-Control-Server (C2) mithilfe von SSL-Pinning und TLS v1.3 her und stellt so sicher, dass die Kommunikation verschlüsselt und vor Abfangen geschützt ist. Darüber hinaus aktiviert sie eine Info-Stealer-Komponente, die Daten von dreizehn Webbrowsern, Systeminformationen, Netzwerkdetails und alle RDP-Verbindungen (Remote Desktop Protocol) sammelt. SteelFox kann Daten sammeln, darunter Kreditkarten, Browserverlauf und Cookies.
SteelFox infiziert Opfer aus zahlreichen Ländern
Obwohl die von SteelFox verwendete C2-Domäne fest codiert ist, verbirgt der Angreifer sie, indem er ihre IP-Adressen häufig ändert und sie über Google Public DNS und DNS over HTTPS (DoH) auflöst. SteelFox-Angriffe zielen nicht auf bestimmte Einzelpersonen ab, sondern scheinen in erster Linie Benutzer von AutoCAD, JetBrains und Foxit PDF Editor zu betreffen. Es wurde beobachtet, dass die Malware Systeme in Ländern wie Brasilien, China, Russland, Mexiko, den Vereinigten Arabischen Emiraten, Ägypten, Algerien, Vietnam, Indien und Sri Lanka kompromittiert.
Obwohl SteelFox relativ neu ist, handelt es sich um ein umfassendes Crimeware-Paket. Malware-Analysen deuten darauf hin, dass sein Entwickler über umfassende Kenntnisse in der C++-Programmierung verfügt und externe Bibliotheken integriert hat, um ein äußerst effektives Schadprogramm zu erstellen.
