Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Opisi virusa, 08.11.2024, 10:00 AM

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „bring your own vulnerable driver” da bi dobio sistemske privilegije na Windows računarima. Dropper SteelFoxa se distribuira preko foruma i torrenta kao alat koji aktivira legitimne verzije softvera kao što je Foxit PDF Editor, JetBrains i AutoCAD.

Korišćenje ranjivog drajvera za eskalaciju privilegija uobičajeno je za hakere koje sponzoriše država i ransomware grupe.

Kaspersky je StealFox otkrio u avgustu, ali iz kompanije kažu da se malver pojavio još u februaru prošle godine. U poslednje vreme StealFox se distribuira preko torrenta, blogova i foruma.

Kaspersky softver je do sada blokirao 11.000 napada SteelFoxa.

Objave koje promovišu SteelFox sadrže uputstva o tome kako nelegalno aktivirati legalni softver. Dropper ima tu funkcionalnost, ali uz aktivaciju softvera korisnici takođe zaraze svoje sisteme malverom.

Softver za aktivaciju se obično instalira u Program Files, a dodavanje kreka zahteva administratorski pristup, što malver kasnije koristi.

Pošto je obezbedio administratorska prava, SteelFox pokreće WinRing0.sys, drajver koji je ranjiv na CVE-2020-14979 i CVE-2021-41285, i koji se može iskoristiti za eskalaciju privilegija. Dozvole koje dobija su najveće na sistemu, moćnije od administratorskih i omogućavaju neograničen pristup bilo kom resursu i procesu.

WinRing0.sys drajver se takođe koristi za rudarenje kriptovaluta, pošto je deo XMRig programa za rudarenje Monero kriptovalute.

Takođe se aktivira komponenta za krađu informacija koja izvlači podatke iz 13 veb pretraživača, informacije o sistemu, mreži i RDP konekciji. SteelFox prikuplja podatke iz pretraživača kao što su kreditne kartice, istorija pretraživanja i kolačići.

SteelFox nema specifične ciljeve, ali izgleda da su napadači fokusirani na korisnike AutoCAD-a, JetBrainsa i Foxit PDF Editora. Najveći broj napada je registrovan u Brazilu, Kini, Rusiji, Meksiku, UAE, Egiptu, Alžiru, Vijetnamu, Indiji i Šri Lanki.

Foto: Gabriele Brancati | Pexels


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje