Это классическая массовая атака на обычных пользователей, которая была зафиксирована во множестве стран, но чаще всего — в Бразилии, Китае и России. Ссылки на SteelFox распространяются на форумах и через популярные торрент-трекеры. Если такой «кряк» скачать, он выполнит обещанное, но также установит в систему код для кражи персональных данных и майнинга криптовалют.
Сообщение на форуме, с помощью которого распространяется троянская программа, выглядит примерно так:
После загрузки и запуска программы она (ожидаемо) запрашивает права администратора. Перед выполнением «легитимной» функции происходит старт цепочки заражения системы. Вредоносный код расшифровывается и сохраняется в папку Program Files, маскируясь под часть одной из взламываемых легитимных программ. Чтобы усложнить детектирование вредоносной программы, после дешифровки ее части модифицируются случайным образом: вставляются мусорные данные, меняется дата компоновки исполняемого файла и версия компоновщика. Создается также служба, которая добавляется в автозагрузку, что обеспечивает закрепление в системе.
В этой службе есть интересная попытка скрыть вредоносную функциональность при автоматическом анализе исполняемых файлов. Определяется имя текущего исполняемого файла, и проверяется его наличие в списке запущенных в системе сервисов. Если имени в списке нет, программа считает, что ее запустили «напрямую», и завершает работу. Еще один трюк усложняет удаление вредоносной программы пользователем. Вредоносный код запускает службу AppInfo, а затем загружается внутрь нее. В результате пользователь не может выполнить никаких действий над загрузчиком вредоносной программы, так как данное действие требует прав NTSYSTEM даже для копирования программы.
Для повышения привилегий в системе используется уязвимый драйвер WinRing0.sys. На конечном этапе развертывания запускается криптомайнер XMRig. Зараженная система далее используется для майнинга криптовалют в пользу злоумышленников. Сам майнер периодически обновляется через репозиторий на GitHub. Скорее всего, это сделано, чтобы снизить вероятность детектирования старых версий ПО.
Отдельная часть вредоносного кода отвечает за связь с командным сервером. Исследователи «Лаборатории Касперского» отмечают качественную реализацию шифрования на этом этапе с использованием протокола TLS 1.3. После установки соединения (сервер находится на фиксированном домене, IP-адрес которого регулярно меняется) запускается функция кражи пользовательских данных. Из установленных у жертвы браузеров извлекаются файлы cookie, сохраненные данные банковских карт и даже история поиска. Все это отправляется на командный сервер для последующей обработки.
Помимо использования TLS 1.3, в отчете также отмечается высокое качество вредоносного кода на языке C++. Таким образом, SteelFox — пример современного вредоносного ПО, пусть и использующего для распространения старый как мир способ. Хотя это и очевидный вывод из данного исследования, все же не можем не отметить прописную истину: не стоит скачивать «кряки» из Интернета. Впрочем, похожие вредоносные программы неоднократно были
Что еще произошло
Еще одно
Исследователи из компании Google нашли
Опубликован подробный анализ
Обнаружена критическая
Опасная проблема
Издание 404Media
Уязвимость с максимальным рейтингом 10 баллов по шкале CVSS
В новой атаке на корпоративную инфраструктуру