Un nouveau package malveillant appelé « SteelFox » mine des crypto-monnaies et vole des données de carte de crédit en utilisant la technique “apportez votre propre pilote vulnérable” pour obtenir des privilèges SYSTÈME sur les machines Windows.
Le dropper de bundle de logiciels malveillants est distribué via des forums et des trackers torrent en tant qu’outil de crack qui active des versions légitimes de divers logiciels tels que Foxit PDF Editor, JetBrains et AutoCAD.
L’utilisation d’un pilote vulnérable pour l’élévation des privilèges est courante pour les acteurs de la menace parrainés par l’État et les groupes de ransomwares. Cependant, la technique semble maintenant s’étendre aux attaques de logiciels malveillants de vol d’informations.
Les chercheurs de Kaspersky ont découvert la campagne SteelFox en août, mais affirment que le malware existe depuis février 2023 et qu’il a récemment augmenté sa distribution en utilisant plusieurs canaux (par exemple des torrents, des blogs et des publications sur des forums).
Selon l’entreprise, ses produits ont détecté et bloqué les attaques SteelFox 11 000 fois.
Infection Stelfox et élévation de privilèges
Kaspersky rapporte que les publications malveillantes faisant la promotion du compte-gouttes de logiciels malveillants SteelFox sont accompagnées d’instructions complètes sur la façon d’activer illégalement le logiciel. Vous trouverez ci-dessous un exemple d’un tel article fournissant des instructions sur la façon d’activer JetBrains:
Les chercheurs disent que bien que le compte-gouttes ait la fonctionnalité annoncée, les utilisateurs infectent également leurs systèmes avec des logiciels malveillants.
Étant donné que le logiciel ciblé pour une activation illégale est généralement installé dans les fichiers du programme, l’ajout de la fissure nécessite un accès administrateur, une autorisation que le logiciel malveillant utilise plus tard dans l’attaque.
Les chercheurs de Kaspersky affirment que « la chaîne d’exécution semble légitime jusqu’au moment où les fichiers sont décompressés. »Ils expliquent qu’une fonction malveillante est ajoutée au cours du processus, qui tombe sur le code machine qui charge SteelFox.
Après avoir sécurisé les droits d’administrateur, SteelFox crée un service qui exécute WinRing0.sys inside, un pilote vulnérable à CVE-2020-14979 et CVE-2021-41285, qui peut être exploité pour obtenir une élévation de privilèges au niveau NT/SYSTÈME.
Ces autorisations sont les plus élevées sur un système local, plus puissantes que celles d’un administrateur, et permettent un accès illimité à toutes les ressources et processus.
Les gagnants0.le pilote sys est également utilisé pour l’extraction de crypto-monnaie, car il fait partie du programme XMRig pour l’extraction de crypto-monnaie Monero. Les chercheurs de Kaspersky affirment que l’auteur de la menace utilise une version modifiée de l’exécutable du mineur qui se connecte à un pool de minage avec des informations d’identification codées en dur.
Le logiciel malveillant établit ensuite une connexion avec son serveur de commande et de contrôle (C2) à l’aide de l’épinglage SSL et de TLS v1.3, ce qui empêche l’interception de la communication.
Il active également le composant info-stealer qui extrait les données de 13 navigateurs Web, des informations sur le système, le réseau et la connexion RDP.
Les chercheurs notent que SteelFox collecte à partir des navigateurs des données telles que les cartes de crédit, l’historique de navigation et les cookies.
Kaspersky affirme que bien que le domaine C2 utilisé par SteelFox soit codé en dur, l’auteur de la menace parvient à le masquer en changeant ses adresses IP et en les résolvant via Google Public DNS et DNS over HTTPS (DoH).
Les attaques Steel Fox n’ont pas de cibles spécifiques mais semblent se concentrer sur les utilisateurs d’AutoCAD, JetBrains et Foxit PDF Editor. D’après la visibilité de Kaspersky, le malware compromet les systèmes au Brésil, en Chine, en Russie, au Mexique, aux Émirats arabes unis, en Égypte, en Algérie, au Vietnam, en Inde et au Sri Lanka.
Bien que SteelFox soit relativement nouveau, « il s’agit d’un ensemble complet de logiciels criminels », disent les chercheurs. L’analyse du malware indique que son développeur est compétent en programmation C++ et qu’il a réussi à créer de formidables logiciels malveillants en intégrant des bibliothèques externes.