Xakep #305. Многошаговые SQL-инъекции
Эксперты «Лаборатории Касперского» рассказали о новой малвари SteelFox, которая маскируется под популярные программы, как Foxit PDF Editor и AutoCAD, использует мощности зараженных машин, чтобы майнить криптовалюту, а также ворует конфиденциальные данные пользователей.
С августа по октябрь 2024 года компания зафиксировала более 11 000 атак SteelFox. 20% пострадавших находились в Бразилии, 8% — в Китае и еще 8% — в России.
SteelFox распространяется под видом активаторов и кряков для различных популярных программ. В частности, исследователи сообщают о фальшивых активаторах для AutoCAD, Foxit PDF Editor и продуктов JetBrains. Таким способом SteelFox распространяется через форумы, торрент-трекеры и даже GitHub.
При этом для повышения привидений в атакованной системе малварь использует WinRing0.sys и тактику BYOWD (Bring your own vulnerable driver, «Принеси свой уязвимый драйвер»), то есть эксплуатирует достаточно старые уязвимости (CVE-2020-14979 и CVE-2021-41285) в WinRing0.sys.
Связь с управляющим сервером осуществляется с использованием механизма закрепления сертификатов SSL (SSL pinning) и TLS 1.3, при этом используется домен с динамическим IP-адресом и библиотека Boost.Asio.
Для добычи криптовалюты операторы вредоноса используют модифицированную версию опенсорсного майнера XMRig, который представляет собой один из компонентов SteelFox. Атакующие используют мощности зараженных устройств, чтобы майнить криптовалюту (вероятнее всего, Monero).
Другой компонент SteelFox представляет собой стилер, который способен множество данных с компьютера жертвы и отправлять их своим операторам. В частности, малварь похищает данных из браузеров (истории посещенных сайтов, информацию об учетных записях и банковских картах), а также сведениях об установленном в системе ПО и антивирусных решениях. Также троян может воровать пароли от Wi-Fi-сетей, информацию о системе, часовом поясе и многое другое.
Отмечается, что всю собранную SteelFox информацию злоумышленники затем могут, например, продавать в даркнете.
«Злоумышленники пытаются получить максимальную выгоду от своих действий. Например, известны зловреды, которые сочетали в себе функциональность майнера и шифровальщика: атакующие зарабатывали на работе майнера, пока ждали выкупа за расшифровку данных. SteelFox — наглядный пример того, как злоумышленники могут попытаться монетизировать как вычислительные мощности устройства, так и его содержимое», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.