Een nieuw schadelijk pakket genaamd ‘SteelFox’ mijnbouwt voor cryptocurrency en steelt creditcardgegevens door gebruik te maken van de “breng je eigen kwetsbare driver”-techniek om SYSTEEM-rechten te verkrijgen op Windows-machines.

De malware-bundel wordt gedistribueerd via forums en torrent-trackers als een kraaktool die legitieme versies van verschillende software zoals Foxit PDF Editor, JetBrains en AutoCAD activeert.

Het gebruik van een kwetsbare driver voor privilege-escalatie is gebruikelijk bij door de staat gesponsorde dreigingsactoren en ransomwaregroepen. De techniek lijkt zich echter nu uit te breiden naar aanvallen met info-steelende malware.

Kaspersky-onderzoekers ontdekten de SteelFox-campagne in augustus, maar zeggen dat de malware al sinds februari 2023 actief is en de distributie recentelijk heeft verhoogd via meerdere kanalen (bijv. torrents, blogs en posts op forums).

Volgens het bedrijf hebben hun producten 11.000 keer SteelFox-aanvallen gedetecteerd en geblokkeerd.

SteelFox-infectie en privilege-escalatie

Kaspersky meldt dat kwaadaardige berichten die de SteelFox-malware promoten voorzien zijn van complete instructies over hoe de software illegaal te activeren. Hieronder staat een voorbeeld van zo’n bericht dat aanwijzingen geeft voor het activeren van JetBrains:

De onderzoekers zeggen dat hoewel de dropper beschikt over de geadverteerde functionaliteit, gebruikers tegelijkertijd hun systemen infecteren met malware.

Omdat de software die men illegaal probeert te activeren doorgaans in de Program Files is geïnstalleerd, vereist het toevoegen van de crack beheerdersrechten, een toestemming die de malware later in de aanval gebruikt.

Kaspersky-onderzoekers zeggen dat “de uitvoeringsketen legitiem lijkt tot het moment waarop de bestanden worden uitgepakt.” Ze leggen uit dat tijdens het proces een kwaadaardige functie wordt toegevoegd die op de machine code dropt die SteelFox laadt.

Zodra beheerrechten zijn verkregen, creëert SteelFox een service die WinRing0.sys binnenin draait, een driver die kwetsbaar is voor CVE-2020-14979 en CVE-2021-41285, die kunnen worden uitgebuit om privilege-escalatie naar NT/SYSTEEM-niveau te verkrijgen.

Dergelijke rechten zijn de hoogste op een lokaal systeem, krachtiger dan die van een beheerder, en staan onbeperkte toegang toe tot elke bron en elk proces.

De WinRing0.sys-driver wordt ook gebruikt voor cryptocurrency-mijnbouw, omdat het deel uitmaakt van het XMRig-programma voor het minen van Monero-cryptocurrency. Kaspersky-onderzoekers zeggen dat de dreigingsactor een aangepaste versie van de miner-executable gebruikt die verbinding maakt met een miningpool met hardcoded inloggegevens.

De malware legt vervolgens een verbinding met zijn command-and-control(C2)-server vast met behulp van SSL-pinning en TLS v1.3, waardoor de communicatie wordt beschermd tegen onderschepping.

Ook activeert het de info-stealer-component die gegevens uit 13 webbrowsers, informatie over het systeem, netwerk en RDP-verbindingen extraheert.

De onderzoekers merken op dat SteelFox vanuit de browsers gegevens verzamelt zoals creditcards, browsegeschiedenis en cookies.

Kaspersky zegt dat hoewel het C2-domein dat SteelFox gebruikt hardcoded is, het de dreigingsactor lukt het te verbergen door hun IP-adressen te wisselen en deze op te lossen via Google Public DNS en DNS over HTTPS (DoH).

SteelFox-aanvallen hebben geen specifieke doelen maar lijken zich te richten op gebruikers van AutoCAD, JetBrains en Foxit PDF Editor. Gebaseerd op Kaspersky’s zichtbaarheid compromitteert de malware systemen in Brazilië, China, Rusland, Mexico, VAE, Egypte, Algerije, Vietnam, India en Sri Lanka.

Hoewel SteelFox redelijk nieuw is, “is het een volledig uitontwikkelde crimeware-bundel,” zeggen de onderzoekers. Analyse van de malware wijst erop dat de ontwikkelaar ervan bedreven is in C++-programmering en erin slaagde formidabele malware te creëren door externe bibliotheken te integreren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----