Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

SteelFox получает доступ к админастративным привилегиям

08/11/24

hack2-Nov-08-2024-09-27-34-7128-AM

Новый вредоносный пакет SteelFox распространяется через форумы и торрент-трекеры, предлагая пользователям нелегальную активацию таких программ, как Foxit PDF Editor, JetBrains и AutoCAD. SteelFox не только майнит криптовалюту Monero, но и крадёт данные кредитных карт, используя уязвимые драйверы для повышения привилегий на системах Windows, пишет Securitylab.

SteelFox, выявленный в августе исследователями из «Лаборатории Касперского», появился ещё в феврале 2023 года, однако сейчас его активное распространение заметно усилилось. За последние месяцы продукты компании зафиксировали и заблокировали более 11 000 попыток заражения этим ПО.

wdtx3we89xie551ebl0nbwf4ls4a6zmn

SteelFox использует технику BYOVD, которая ранее была характерна для действий киберпреступников, спонсируемых государством, а также групп, занимающихся вымогательством. В данном случае вредоносный софт эксплуатирует уязвимости CVE-2020-14979 (CVSS: 7.8) и CVE-2021-41285 (CVSS 7.8), чтобы получить максимальный уровень привилегий NT/SYSTEM на заражённой системе.

После получения админских прав SteelFox создаёт сервис для запуска драйвера «WinRing0.sys», обеспечивая себе полный контроль над системой. Также этот драйвер используется для криптомайнинга благодаря встроенной поддержке программы XMRig. Для обеспечения связи с командным сервером SteelFox применяет SSL-пиннинг и TLS 1.3, что делает перехват данных затруднительным.

Кроме криптомайнинга, SteelFox выполняет функцию кражи информации, собирая данные из 13 веб-браузеров, а также системную и сетевую информацию. Среди похищаемых данных — кредитные карты, история посещений и куки, что представляет серьёзную угрозу для конфиденциальности пользователей.

Инфраструктура управления SteelFox опирается на скрытые домены, адреса которых периодически меняются через Google Public DNS и DNS over HTTPS (DoH). Хотя этот вредоносный софт не нацелен на конкретные страны, эксперты «Лаборатории Касперского» отмечают его активность в Бразилии, Китае, России, Мексике, ОАЭ, Египте, Алжире, Вьетнаме, Индии и Шри-Ланке.

SteelFox, несмотря на свою недавнюю активность, уже демонстрирует высокую функциональность, что подтверждает уровень мастерства разработчика, интегрировавшего в ПО внешние библиотеки и продвинутые функции.

Темы:майнингУгрозыЛКBYOD
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Bring Your Enterprise Home. Кибербезопасность корпоративного уровня дома у сотрудников
    Кент Лэндфилд, Главный специалист по разработке политики стандартов и технологий компании McAfee
    Важно переосмыслить безопасность домов и квартир, а также разработать стандарты их защиты
  • Bring Your Own Device... и ничего не трогай?
    Сергей Вахонин, Директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)
    Широкое распространение концепции Bring Your Own Device (BYOD, использование персональных устройств в рабочих целях) уже привело к резкому повышению мобильности работников, когда они активно используют персональные мобильные устройства для работы с почтой и корпоративной информацией. Однако с точки зрения обеспечения информационной безопасности возникает дилемма между предоставлением доступа к служебной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...