Security Week 2446: исследование троянской программы SteelFox

Security Week 2446: исследование троянской программы SteelFox
Метод распространения вредоносного ПО вместе с утилитами для взлома легитимных программ уверенно можно назвать таким же старым, как и сеть Интернет. Это не значит, что данный прием не работает. В свежем исследовании специалисты «Лаборатории Касперского» подробно разбирают особенности троянской программы SteelFox . Распространяется она вместе с «кряками» популярного программного обеспечения, например для утилиты Foxit PDF Editor, решений компании JetBrains или для ПО AutoCAD.


Это классическая массовая атака на обычных пользователей, которая была зафиксирована во множестве стран, но чаще всего — в Бразилии, Китае и России. Ссылки на SteelFox распространяются на форумах и через популярные торрент-трекеры. Если такой «кряк» скачать, он выполнит обещанное, но также установит в систему код для кражи персональных данных и майнинга криптовалют.

Сообщение на форуме, с помощью которого распространяется троянская программа, выглядит примерно так:


После загрузки и запуска программы она (ожидаемо) запрашивает права администратора. Перед выполнением «легитимной» функции происходит старт цепочки заражения системы. Вредоносный код расшифровывается и сохраняется в папку Program Files, маскируясь под часть одной из взламываемых легитимных программ. Чтобы усложнить детектирование вредоносной программы, после дешифровки ее части модифицируются случайным образом: вставляются мусорные данные, меняется дата компоновки исполняемого файла и версия компоновщика. Создается также служба, которая добавляется в автозагрузку, что обеспечивает закрепление в системе.

В этой службе есть интересная попытка скрыть вредоносную функциональность при автоматическом анализе исполняемых файлов. Определяется имя текущего исполняемого файла, и проверяется его наличие в списке запущенных в системе сервисов. Если имени в списке нет, программа считает, что ее запустили «напрямую», и завершает работу. Еще один трюк усложняет удаление вредоносной программы пользователем. Вредоносный код запускает службу AppInfo, а затем загружается внутрь нее. В результате пользователь не может выполнить никаких действий над загрузчиком вредоносной программы, так как данное действие требует прав NTSYSTEM даже для копирования программы.

Для повышения привилегий в системе используется уязвимый драйвер WinRing0.sys. На конечном этапе развертывания запускается криптомайнер XMRig. Зараженная система далее используется для майнинга криптовалют в пользу злоумышленников. Сам майнер периодически обновляется через репозиторий на GitHub. Скорее всего, это сделано, чтобы снизить вероятность детектирования старых версий ПО.

Отдельная часть вредоносного кода отвечает за связь с командным сервером. Исследователи «Лаборатории Касперского» отмечают качественную реализацию шифрования на этом этапе с использованием протокола TLS 1.3. После установки соединения (сервер находится на фиксированном домене, IP-адрес которого регулярно меняется) запускается функция кражи пользовательских данных. Из установленных у жертвы браузеров извлекаются файлы cookie, сохраненные данные банковских карт и даже история поиска. Все это отправляется на командный сервер для последующей обработки.

Помимо использования TLS 1.3, в отчете также отмечается высокое качество вредоносного кода на языке C++. Таким образом, SteelFox — пример современного вредоносного ПО, пусть и использующего для распространения старый как мир способ. Хотя это и очевидный вывод из данного исследования, все же не можем не отметить прописную истину: не стоит скачивать «кряки» из Интернета. Впрочем, похожие вредоносные программы неоднократно были замечены в маскировке под популярное бесплатное ПО.

Что еще произошло

Еще одно исследование специалистов «Лаборатории Касперского» посвящено шифровальщику Ymir. Данный отчет интересен также тем, что подробно воспроизводит типичные этапы анализа вредоносных программ.

Исследователи из компании Google нашли новый метод эксплуатации аппаратной уязвимости в процессорах AMD, известной как Inception (мы писали о ней в августе прошлого года).

Опубликован подробный анализ уязвимостей в медиасистеме, используемой в автомобилях Mazda. Среди обнаруженных проблем есть, например, возможность проведения SQL-инъекции через подключение «подготовленного» айфона или Apple iPod (или эмуляции такого подключения). Команда, в итоге выполняющаяся с привилегиями суперпользователя, может быть записана в серийный номер подключаемого устройства.

Обнаружена критическая уязвимость в популярной платной теме для WordPress, известной как WPLMS.

Опасная проблема найдена в NAS-устройствах компании D-Link. Такие модели, как DNS-320, 325 и 340L, могут быть взломаны путем отправки единственной команды на устройство. Всего в Сети доступно более 60 тысяч уязвимых устройств, причем патча для них не будет, так как модели более не поддерживаются. Производитель рекомендует сменить устройство на более современное.

Издание 404Media сообщает о недокументированном нововведении в iOS 18.1, которое заметно усложняет анализ устройств Apple правоохранительными органами. В случае если работающее устройство не разблокируется в течение длительного времени, оно принудительно перезагружается. Это приводит к переходу устройства из состояния After First Unlock в состояние Before First Unlock. Разница заключается в том, что в состоянии AFU к данным на айфоне проще получить доступ с использованием коммерческих решений для взлома.

Уязвимость с максимальным рейтингом 10 баллов по шкале CVSS обнаружена в решении Ultra-Reliable Wireless Backhaul компании Cisco.

В новой атаке на корпоративную инфраструктуру отмечено использование виртуальных Linux-машин под Windows.
steelfox
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь