SteelFox マルウェア
SteelFox と呼ばれる新たな脅威パッケージが発見されました。これは Windows システムをターゲットにして、暗号通貨を採掘し、クレジットカード情報を収集します。このマルウェアは、「脆弱なドライバーを持ち込む」という手法を利用して権限をシステム レベルに昇格させ、セキュリティ対策を回避します。
このマルウェアは主にフォーラムやトレントサイトを通じて拡散しており、Foxit PDF Editor、JetBrains、AutoCAD などの正規ソフトウェアを起動するクラックツールを装っています。権限昇格のために脆弱なドライバーを使用するのは、国家支援の脅威アクターやランサムウェアグループによく見られる手法です。しかし、現在では情報収集マルウェアキャンペーンでも採用されているようです。
研究者らは8月に初めてSteelFoxの活動を特定したが、このマルウェアは2023年2月から活動していたと指摘している。この数か月間、トレント、ブログ、フォーラム投稿など、さまざまなチャネルを通じて配布が急増している。
目次
SteelFox 感染と権限昇格
報告によると、SteelFox マルウェア ドロッパーを宣伝する投稿には、ソフトウェアを違法にアクティベートする方法に関する詳細な手順が含まれていることが多いようです。たとえば、そのような投稿の 1 つでは、JetBrains をアクティベートする手順を段階的に説明しています。ドロッパーはソフトウェアをアクティベートするという宣伝どおりの機能を実行しますが、その過程でユーザーは誤って自分のシステムをマルウェアに感染させてしまいます。
標的のソフトウェアは通常、Program Files にインストールされるため、クラックを追加するには管理者レベルのアクセスが必要であり、マルウェアは攻撃中にこれを利用します。研究者は、ファイルが解凍されるまでインストール プロセスは正当なもののように見えると指摘しています。その段階で、安全でない関数が導入され、SteelFox をシステムにロードするコードをドロップします。
脆弱なドライバーの悪用
SteelFox は管理者権限を取得すると、CVE-2020-14979 および CVE-2021-41285 の影響を受ける脆弱なドライバーである WinRing0.sys を実行するサービスをインストールします。これらの脆弱性により、マルウェアは権限を NT/SYSTEM レベルに昇格し、管理者権限よりも強力なシステムへの最高レベルのアクセス権を付与できます。このレベルのアクセスにより、マルウェアはあらゆるシステム リソースやプロセスを自由に操作できます。
権限昇格に加え、WinRing0.sys ドライバーは暗号通貨のマイニングにも使用されます。これは、Monero をマイニングするXMRigマイナーの一部です。攻撃者は、ハードコードされた資格情報を使用してマイニング プールに接続するように構成された、このマイナーの修正バージョンを展開します。
また、このマルウェアは、SSL ピンニングと TLS v1.3 を使用してコマンド アンド コントロール (C2) サーバーとの安全な接続を確立し、通信が暗号化され、傍受から保護されるようにします。さらに、13 の Web ブラウザー、システム情報、ネットワークの詳細、および RDP (リモート デスクトップ プロトコル) 接続からデータを収集する情報窃盗コンポーネントを起動します。SteelFox は、クレジットカード、閲覧履歴、Cookie などのデータを収集できます。
SteelFox が多数の国で被害者を感染
SteelFox が使用する C2 ドメインはハードコードされていますが、攻撃者は IP アドレスを頻繁に変更し、Google Public DNS および DNS over HTTPS (DoH) を介して解決することでこれを隠蔽しています。SteelFox 攻撃は特定の個人をターゲットにしているわけではなく、主に AutoCAD、JetBrains、Foxit PDF Editor のユーザーに影響を及ぼしているようです。このマルウェアは、ブラジル、中国、ロシア、メキシコ、UAE、エジプト、アルジェリア、ベトナム、インド、スリランカなどの国のシステムを侵害していることが確認されています。
SteelFox は比較的新しいにもかかわらず、包括的なクライムウェア パッケージです。マルウェア分析によると、開発者は C++ プログラミングに精通しており、外部ライブラリを組み込んで非常に効果的なマルウェアを作成しているようです。
