SteelFox inficirao više od 11.000 Windows sistema
SteelFox je zlonamjerni softver koji je zarazio preko 11.000 Windows sistema od otkrića u februaru 2023. godine do avgusta 2024. godine, svjedoči o vještini i genijalnosti njegovog programera. Zlonamjerni softver koji je otkriven od strane sigurnosnih istraživača kompanije Kaspersky, radi prvenstveno na Windows platformama vjerovatno zbog značajnog tržišnog udjela, sa preko 80% desktop operativnih sistema koji koriste Windows.
STEELFOX
SteelFox je sofisticirani zlonamjerni softver koji koriste zlonamjerni akteri za rudarenje kriptovaluta i krađu podataka. Prvenstveno je dizajniran da cilja Windows operativne sisteme zbog njihovog značajnog tržišnog udjela i ranjivosti koje ga čine privlačnom metom za zlonamjerne aktere.
Zlonamjerni softver se maskira kao softverski aktivator za popularne aplikacije kao što su Foxit PDF Editor, AutoCAD ili JetBrains, čineći ga lako dostupnim preko različitih internet platformi kao što su forumi, torrent trackeri i blogovi. Iako stvarno ima funkcionalnost aktivatora, korisnici nesvjesno inficiraju svoje sisteme dodatnim zlonamjernim softverom tokom ovog procesa.
Koristi napredne C++ tehnike programiranja zajedno sa eksternim bibliotekama, što ga čini moćnim u pogledu njegovih mogućnosti. Ovaj zlonamjerni softver radi na masovnom nivou, ciljajući različite korisničke podatke na više platformi umjesto da se fokusira na određene organizacije ili pojedince.
Funkcionisanje
Način funkcionisanja SteelFox zlonamjernog softvera podrazumijeva višestepeni proces napada. Početna faza počinje distribucijom ubacivača (eng. dropper), koji je često maskiran kao softverski aktivator na torrent stranicama, blogovima i objavama na forumima. Jednom preuzet, ovaj ubacivač šifruje svoje parametre i djeli korisni teret (eng. payload) u blokove od 16 bajta koji će se obraditi korišćenjem AES-128 SIMD instrukcija ili AES-NI ekstenzija skupa instrukcija.
Nakon izvršenja, prva faza dešifruje ove parametre i ispušta izvršni teret druge faze PE64. Ovaj ugrađeni korisni teret se podvrgava modifikacijama da bi se izbjeglo otkrivanje, pri čemu su vremenske oznake povezivanja zamijenjene korišćenjem slučajnog datuma u rasponu od maja 2022. godine do decembra 2022. godine, zajedno sa manipulacijom verzije povezivača. Pored toga, nasumični bezvrijedni podaci se ubacuju u odjeljak .rdata da bi se izbjeglo otkrivanje preko heša.
Druga faza napada SteelFox zlonamjernog softvera se zatim nastavlja iskorišćavanjem administratorskih privilegija stečenih tokom procesa instalacije ciljanog softvera (obično instaliranog u Program Files). Ova eskalacija privilegija omogućava zlonamjernom softveru da pristupi osjetljivim sistemskim podacima i izvrši komande sa povišenim dozvolama, postavljajući teren za dalje napade.
Jednom uspostavljen, SteelFox zlonamjerni softver počinje da izvlači široku lepezu osjetljivih podataka od svojih žrtava. On prikuplja osjetljive informacije kao što su kolačići, detalji o kreditnoj kartici, istorija lokacija, podaci o sistemu, detalji o mreži, podaci sa SIM kartice (ako su primjenljivi), informacije o disku, promjenljive okruženja, lokalno vreme i vremenska zona, korisničko ime, informacije o pokretanju, lozinke, lokalizacija sistema , informacije o udaljenim nalozima, RDP sesije i informacije o sesiji, ikone na radnoj površini instaliranog i pokrenutog softvera, korištenje memorije procesa i opseg stranica i još mnogo toga.
Bitno je napomenuti da, iako ubacivač može reklamirati određenu funkcionalnost koja stvarno radi, korisnici često pronađu svoje sisteme zaražene dodatnim zlonamjernim softverom tokom ovog procesa. Zlonamjerne objave koje promovišu SteelFox zlonamjerni softver dolaze u kompletu sa uputstvima kako da se ilegalno aktivira softver, ali sa zlonamjernim dodatkom bez znanja mnogih nesvjesnih žrtava.
Mehanizam za komandu i kontrolu (C2)
Mehanizam za komandu i kontrolu (C2) je ključna komponenta u radu SteelFox zlonamjernog softvera. Nakon početne infekcije, SteelFox zlonamjerni softver koristi jedinstven pristup za rješavanje tvrdo kôdiranog domena za komandu i kontrolu (C2) koristeći Google DNS preko HTTPS servisa. Koristeći ovaj metod, on efektivno sakriva svoje aktivnosti rješavanja domena od potencijalnih napora za praćenje ili otkrivanje. Jednom kada se dobije IP adresa C2 servera, zlonamjerni softver uspostavlja vezu sa njim preko TLS 1.3 zaštićenog kanala, dodatno poboljšavajući svoje mogućnosti prikrivenosti implementacijom SSL fiksiranja.
Izbor korišćenja TLS 1.3 i SSL fiksiranja ima dvije osnovne svrhe: prvo, obezbjeđuje siguran prenos podataka između SteelFox zlonamjernog softvera i njegovog C2 servera; drugo, to čini analizu izazovnijom za sigurnosne istraživače zbog slojeva šifrovanja uključenih u ove protokole. Biblioteka Boost.Asio se koristi za efikasnu implementaciju ovog procesa komunikacije, pokazujući visok nivo sofisticiranosti u razvoju zlonamjernog softvera.
Jedan zanimljiv aspekt C2 mehanizma SteelFox zlonamjernog softvera je njegova upotreba dinamički promjenljive IP adrese za komandni i kontrolni domen. Ova tehnika otežava bezbjednosnim rješenjima da identifikuju i blokiraju zlonamjerni saobraćaj, pošto IP adresa povezana sa domenom može da se promijeni tokom vremena. Kao rezultat, čak i ako je određena IP adresa blokirana ili identifikovana na platformama za obavještavanje o prijetnjama, zlonamjerni softver može jednostavno da se prebaci na drugu bez prekida u svom radu.
Još jedna bitna karakteristika C2 mehanizma SteelFox zlonamjernog softvera leži u njegovoj sposobnosti da podiže privilegije na zaraženom sistemu kroz eksploataciju ranjivog drajvera po imenu WinRingO.sys. Ovaj zastareli i poznato ranjivi (CVE-2020-14979 i CVE-2021-41285) upravljački softver (eng. driver) je instaliran kao dio usluge, omogućavajući SteelFox zlonamjernom softveru da komunicira sa kompromitovanim sistemom i dobije više nivoe pristupa.
Jednom kada se poveže sa svojim C2 serverom, SteelFox zlonamjerni softver počinje da izvlači ogroman niz osjetljivih podataka sa uređaja korisnika. Prikupljeni podaci se šalju nazad na server za komandu i kontrolu zlonamjernog aktera preko izuzetno moćnog korisnog tereta koji se sastoji od JSON datoteka.
Pogođeni korisnici
Čini se da su primarne mete SteelFox zlonamjernog softvera korisnici pomenutih softverskih aplikacija (Foxit PDF Editor, AutoCAD ili JetBrains), ali izgleda da se ne izdvaja konkretna meta za napad. Ovaj široki fokus na različite korisnike softvera sugeriše široku kampanju koja ima za cilj poveća stope infekcije na više platformi i regiona.
Geografska distribucija žrtava je raznolika i alarmantna, a kompromitovanja su prijavljeni iz Brazila, Kine, Rusije, Meksika, UAE, Egipta, Alžira, Vijetnama, Indije i Šri Lanke.
ZAKLJUČAK
SteelFox je sofisticirani zlonamjerni softver koji je zarazio hiljade Windows sistema širom sveta, predstavljajući se kao softverski aktivator, ciljajući na različite korisnike softvera sugeriše široku kampanju koja ima za cilj poveća stope infekcije na više regiona. Uz to, njegov programer pokazuje izuzetnu vještinu u C++ programiranju i integraciji eksterne biblioteke, što ga čini ogromnom prijetnjom za korisnike u različitim zemljama svijeta.
Pored toga, njegov složeni lanac izvršavanja omogućava mu da opstane u sistemu i eskalira privilegije, dok njegove mogućnosti krađe podataka čine značajnu prijetnju privatnosti i bezbjednosti korisnika. Kontinuirana popularnost Windows operativnih sistema među korisnicima desktop računara čini ga privlačnom metom za zlonamjerne aktere koje stoje iz SteelFox zlonamjernog softvera.
Sam globalni domet SteelFox zlonamjernog softvera je svjedočanstvo o međusobnoj povezanosti našeg digitalnog sveta i potrebi za snažnim mjerama sajber bezbjednosti. Kako se sve više aspekata naših života kreće na internetu, postaje sve važnije da ostanemo na oprezu protiv ovih digitalnih prijetnji. Korisnicima se savjetuje da instaliraju aplikacije iz zvaničnih izvora, koriste robusno bezbjednosno rješenje sposobno da spriječi preuzimanje zaraženog softvera i da budu informisani o novim prijetnjama koje se pojavljuju u digitalnom okruženju sajber bezbjednosti koje se stalno razvija.
ZAŠTITA
U digitalnom dobu u kome živimo, sajber bezbjednost je postala suštinski aspekt našeg svakodnevnog života. U takvom okruženju pojava SteelFox zlonamjernog softvera, alata za krađu i rudarenje koju koriste zlonamjerni akteri za rudarenje kriptovalute i krađu osjetljivih podataka zahtjeva da se razumije njegov način funkcionisanja i primjene odgovarajuće preporučene zaštitne mjere:
- Uvijek preuzimati softver iz pouzdanih izvora da bi se izbjeglo slučajno instaliranje zlonamjernih softvera kao što je SteelFox. Koristiti dobro poznate internet lokacije ili zvanične internet stranice programera kada je to moguće,
- Koristiti pouzdano bezbjednosno rješenje koje može spriječiti preuzimanje zaraženog softvera i zaštiti korisnike od poznatih prijetnji, uključujući SteelFox. Redovno ažurirati ovo rješenje da bi se obezbijedila optimalna zaštita od novih varijanti zlonamjernog softvera,
- Izbjegavati alate za krekovanje ili krekovane verzije popularnog softvera, jer mogu da sadrže skrivene zlonamjerne sadržaje kao što je SteelFox zlonamjerni softver. Ako su potrebni odgovarajući alati, razmislite o korištenju legitimnih metoda za njihovu nabavku ili potražiti alternative koje su legalno dostupne,
- Redovno ažurirati operativni sistem i instalirane aplikacije sa najnovijim ažuriranjima i bezbjednosnim ispravkama. Ovo pomaže u zaštiti od poznatih ranjivosti koje koristi zlonamjerni softver kao što je SteelFox,
- Da bi se osigurala bezbjedna komunikacija, posebno prilikom pristupa osjetljivim podacima na mreži, koristiti Transport Layer Security – TLS u kombinaciji sa Secure Sockets Layer – SSL. Ovo pomaže u zaštiti podataka od presretanja od strane zlonamjernih aktera,
- Potrebno je biti informisan o najnovijim prijetnjama i trendovima u vezi sa sajber bezbjednošću, uključujući ažuriranja zlonamjernog softvera kao što je SteelFox. Ako postoji razumijevanje kako ove prijetnje funkcionišu, korisnici mogu bolje prepoznati potencijalne rizike i preduzeti odgovarajuće mjere da bi se zaštitili,
- Koristiti jake, jedinstvene lozinke za sve naloge na mreži i omogućiti autentifikaciju u dva koraka gdje je to moguće. Ovo otežava zlonamjernim akterima da dobiju neovlašteni pristup osjetljivim podacima,
- Redovno pravite rezervne kopije podataka, jer redovno pravljenje rezervnih kopija važnih datoteka može pomoći da se povrate izgubljeni ili ukradeni podaci bez značajnog gubitka,
Prateći ove preporuke i primjenjujući oprez u pogledu potencijalnih sajber prijetnji, korisnici mogu značajno smanjiti rizik da postanu žrtva zlonamjernog softvera kao što je SteelFox. Važno je imati na umu da je proaktivan pristup sajber bezbjednosti od suštinskog značaja u današnjem međusobno povezanom svetu.