2024-11-07T11:20:00+03:00
חבילה זדונית חדשה SteelFox מופץ באמצעות פורומים ומעקבי טורנטים, מציע למשתמשים הפעלה לא חוקית של תוכניות כגון Foxit PDF Editor, JetBrains ו-AutoCAD. SteelFox לא רק כורה את המטבע הקריפטוגרפי Monero, אלא גם גונב נתוני כרטיסי אשראי באמצעות מנהלי התקנים פגיעים כדי להסלים הרשאות במערכות Windows.
SteelFox, שזוהתה באוגוסט על ידי חוקרים ממעבדת קספרסקי, הופיעה בפברואר 2023, אך כעת התפוצה הפעילה שלו גדלה באופן ניכר. בחודשים האחרונים, מוצרי החברה זיהו וחסמו יותר מ-11,000 ניסיונות להדביק תוכנה זו.
SteelFox משתמשת בטכניקת BYOVD, שהייתה נפוצה בעבר בקרב פושעי סייבר בחסות המדינה וקבוצות של תוכנות כופר. במקרה זה, תוכנה זדונית מנצלת נקודות תורפה CVE-2020-14979
(CVSS: 7.8) ו CVE-2021-41285 (CVSS 7.8) כדי להשיג הרשאות NT/SYSTEM מקסימליות במערכת הנגועה.
לאחר קבלת זכויות אדמין, SteelFox יוצר שירות להפעלת מנהל ההתקן "WinRing0.sys", המספק לעצמה שליטה מלאה על המערכת. דרייבר זה משמש גם לקריפטומין הודות לתמיכה המובנית של תוכנית XMRig. כדי להבטיח תקשורת עם שרת הפיקוד והבקרה, SteelFox משתמשת בהצמדת SSL וב-TLS 1.3, מה שמקשה על יירוט הנתונים.
בנוסף ל-cryptomining, SteelFox מבצעת את הפונקציה של גניבת מידע, איסוף נתונים מ-13 דפדפני אינטרנט, כמו גם מידע מערכת ורשת. הנתונים שנגנבו כוללים כרטיסי אשראי, היסטוריית גלישה וקובצי Cookie, מה שמהווה איום רציני על פרטיות המשתמש.
תשתית הניהול של SteelFox מסתמכת על דומיינים נסתרים שהכתובות שלהם משתנות מעת לעת דרך Google Public DNS ו-DNS דרך HTTPS (DoH). למרות שהתוכנה הזדונית הזו אינה מכוונת למדינות ספציפיות, מומחי מעבדת קספרסקי מציינים את פעילותה בברזיל, סין, רוסיה, מקסיקו, איחוד האמירויות הערביות, מצרים, אלג'יריה, וייטנאם, הודו וסרי לנקה.
SteelFox, למרות פעילותה האחרונה, כבר מפגינה פונקציונליות גבוהה, המאשרת את רמת המיומנות של המפתח ששילב בתוכנה ספריות חיצוניות ופונקציות מתקדמות.
2 תגובות
Can you be more specific about the content of your article? After reading it, I still have some doubts. Hope you can help me.
Thanks for sharing. I read many of your blog posts, cool, your blog is very good.