แพ็กเกจมัลแวร์ใหม่ที่ชื่อว่า "SteelFox" ทำการขุดคริปโตเคอเรนซี และขโมยข้อมูลบัตรเครดิตโดยใช้เทคนิค “bring your own vulnerable driver” เพื่อให้ได้สิทธิ์ระดับ SYSTEM บนเครื่อง Windows
มัลแวร์ตัวนี้จะแพร่กระจายผ่าน forums และ torrent trackers โดยมาในรูปแบบของ crack tool ที่ใช้ในการเปิดใช้งานซอฟต์แวร์ที่มีลิขสิทธิ์ เช่น Foxit PDF Editor, JetBrains และ AutoCAD
การใช้ไดร์เวอร์ที่มีช่องโหว่เพื่อยกระดับสิทธิ์เป็นเทคนิคของกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มแรนซัมแวร์ โดยปัจจุบันเทคนิคนี้ดูเหมือนจะถูกนำมาใช้ขโมยข้อมูลเพิ่มมากขึ้น
นักวิจัยจาก Kaspersky ค้นพบแคมเปญ SteelFox ในเดือนสิงหาคม แต่ระบุว่ามัลแวร์นี้มีการแพร่กระจายมาตั้งแต่เดือนกุมภาพันธ์ 2023 และมีการแพร่กระจายเพิ่มขึ้นเมื่อเร็ว ๆ นี้ผ่านหลายช่องทาง (เช่น torrents, บล็อก และโพสต์ในฟอรั่ม)
ตามที่ Kaspersky ระบุ ผลิตภัณฑ์ของบริษัทสามารถตรวจจับ และบล็อกการโจมตีของ SteelFox ได้ถึง 11,000 ครั้ง
การติดมัลแวร์ SteelFox และการยกระดับสิทธิ์
Kaspersky รายงานว่า โพสต์ที่เป็นอันตรายซึ่งถูกใช้โปรโมต malware dropper ของมัลแวร์ SteelFox มาพร้อมกับคำแนะนำอย่างละเอียดเกี่ยวกับวิธีการเปิดใช้งานซอฟต์แวร์ในทางที่ผิด
นักวิจัยระบุว่า แม้ malware dropper จะมีฟังก์ชันใช้งานได้ตามที่โฆษณาไว้ แต่ผู้ใช้ก็จะติดมัลแวร์ในระบบของตนด้วย
เนื่องจากซอฟต์แวร์ที่ถูกนำมาใช้เพื่อการเปิดใช้งานในทางที่ผิด มักจะติดตั้งอยู่ในโฟลเดอร์ Program Files และการใช้งาน crack จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบ ซึ่งสิทธิ์นี้จะถูกมัลแวร์นำไปใช้ในการโจมตีต่อไป
นักวิจัยของ Kaspersky ระบุว่า กระบวนการทำงานดูเหมือนมีความน่าเชื่อถือจนกระทั่งมีการแตกไฟล์ออกมา ซึ่งพวกเขาอธิบายว่ามีการเพิ่มฟังก์ชันที่เป็นอันตรายในระหว่างกระบวนการนี้ โดยจะ drop โค้ดบนเครื่องเพื่อโหลด SteelFox
หลังจากได้สิทธิ์ผู้ดูแลระบบแล้ว SteelFox จะสร้าง service ที่สามารถรันไฟล์ WinRing0.sys ซึ่งเป็นไดร์เวอร์ที่มีช่องโหว่ CVE-2020-14979 และ CVE-2021-41285 โดยสามารถใช้เพื่อยกระดับสิทธิ์ไปยังระดับ NT/SYSTEM ได้
สิทธิ์ดังกล่าวถือเป็นสิทธิ์สูงสุดใน local system โดยมีสิทธิ์สูงกว่าผู้ดูแลระบบ และอนุญาตให้เข้าถึงทรัพยากร และกระบวนการต่าง ๆ ได้โดยไม่จำกัด
โดยไดรเวอร์ WinRing0.sys ยังใช้สำหรับการขุดสกุลเงินดิจิทัล เนื่องจากเป็นส่วนหนึ่งของโปรแกรม XMRig สำหรับการขุดสกุลเงินดิจิทัล Monero นักวิจัยของ Kaspersky ระบุว่า ผู้โจมตีจะใช้เวอร์ชันที่ถูก modified ของโปรแกรมขุด เพื่อเชื่อมต่อกับ mining pool ด้วยข้อมูล credentials ที่ถูก hardcoded ไว้
มัลแวร์นี้จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) โดยใช้ SSL pinning และ TLS v1.3 ซึ่งช่วยป้องกันการเชื่อมต่อจากการถูกดักจับ
นอกจากนี้ยังเปิดใช้งาน info-stealer component ซึ่งจะมีการขโมยข้อมูลจากเบราว์เซอร์ 13 รายการ เช่น ข้อมูลเกี่ยวกับระบบ, เครือข่าย และการเชื่อมต่อ RDP
นักวิจัยสังเกตว่า SteelFox รวบรวมข้อมูลจากเบราว์เซอร์ เช่น บัตรเครดิต, ประวัติการเรียกดูเว็บไซต์ และคุกกี้
Kaspersky ระบุว่า แม้ว่าโดเมน C2 ที่ SteelFox ใช้จะถูก hardcoded ไว้ แต่ผู้ไม่หวังดีสามารถซ่อนโดเมนนี้ได้โดยการเปลี่ยน IP Address และผ่าน Google Public DNS และ DNS over HTTPS (DoH)
การโจมตีของ SteelFox ไม่มีเป้าหมายที่ชัดเจน แต่ดูเหมือนว่าจะมุ่งเป้าไปที่ผู้ใช้ AutoCAD, JetBrains และ Foxit PDF Editor และจากข้อมูลของ Kaspersky พบว่ามัลแวร์จะโจมตีระบบในบราซิล, จีน, รัสเซีย, เม็กซิโก, สหรัฐอาหรับเอมิเรตส์, อียิปต์, อัลจีเรีย, เวียดนาม, อินเดีย และศรีลังกา
แม้ว่า SteelFox จะค่อนข้างใหม่ แต่นักวิจัยระบุว่า มันเป็นมัลแวร์ที่มีฟีเจอร์ครบ และการวิเคราะห์มัลแวร์นี้แสดงให้เห็นว่านักพัฒนามีทักษะสูงในการเขียนโปรแกรม C++ และสามารถสร้างมัลแวร์ที่มีประสิทธิภาพโดยการใช้งานไลบรารีจากภายนอก
ที่มา : bleepingcomputer
You must be logged in to post a comment.