Slušaj vest

Hakeri koriste tehniku „bring your own vulnerable driver” da bi dobio sistemske privilegije na Windows računarima. Dropper SteelFoxa se distribuira preko foruma i torrenta kao alat koji aktivira legitimne verzije softvera kao što je Foxit PDF Editor, JetBrains i AutoCAD.

Korišćenje ranjivog drajvera za eskalaciju privilegija uobičajeno je za hakere koje sponzoriše država i ransomware grupe.

shutterstock_sajber napad (3).jpg
Shutterstock 

Kaspersky je StealFox otkrio u avgustu, ali iz kompanije kažu da se malver pojavio još u februaru prošle godine. U poslednje vreme StealFox se distribuira preko torrenta, blogova i foruma.

Kaspersky softver je do sada blokirao 11.000 napada SteelFoxa.

shutterstock-kaspersky-4.jpg
Shutterstock 

Objave koje promovišu SteelFox sadrže uputstva o tome kako nelegalno aktivirati legalni softver. Dropper ima tu funkcionalnost, ali uz aktivaciju softvera korisnici takođe zaraze svoje sisteme malverom.

Softver za aktivaciju se obično instalira u Program Files, a dodavanje kreka zahteva administratorski pristup, što malver kasnije koristi.

shutterstock-malwer-1.jpg
Shutterstock 

Pošto je obezbedio administratorska prava, SteelFox pokreće WinRing0.sys, drajver koji je ranjiv na CVE-2020-14979 i CVE-2021-41285, i koji se može iskoristiti za eskalaciju privilegija. Dozvole koje dobija su najveće na sistemu, moćnije od administratorskih i omogućavaju neograničen pristup bilo kom resursu i procesu.

WinRing0.sys drajver se takođe koristi za rudarenje kriptovaluta, pošto je deo XMRig programa za rudarenje Monero kriptovalute.

shutterstock_kripto.jpg
Shutterstock 

Takođe se aktivira komponenta za krađu informacija koja izvlači podatke iz 13 veb pretraživača, informacije o sistemu, mreži i RDP konekciji. SteelFox prikuplja podatke iz pretraživača kao što su kreditne kartice, istorija pretraživanja i kolačići.

SteelFox nema specifične ciljeve, ali izgleda da su napadači fokusirani na korisnike AutoCAD-a, JetBrainsa i Foxit PDF Editora. Najveći broj napada je registrovan u Brazilu, Kini, Rusiji, Meksiku, UAE, Egiptu, Alžiru, Vijetnamu, Indiji i Šri Lanki.

Izvor: Informacija/Kurir/Darko Mulic