Bilgisayar korsanları, önemli pazar payları nedeniyle öncelikle Windows sistemlerini hedef alıyor: Masaüstü işletim sistemlerinin %80’inden fazlası Windows çalıştırıyor.
Bilgisayar korsanlarının neredeyse %50’si bile Windows sistemlerini diğer işletim sistemlerinden daha fazla tehlikeye atıyor.
Kaspersky araştırmacıları kısa süre önce, yazılım etkinleştiricisi olarak 11.000’den fazla Windows sistemine bulaşan “SteelFox” adlı yeni bir kötü amaçlı yazılım tespit etti.
SteelFox, Ağustos 2024’te tespit edilen karmaşık bir kötü amaçlı yazılımdır. Foxit PDF Editor veya AutoCAD gibi iyi bilinen yazılım uygulamaları için bir crack veya etkinleştirici olarak çok sayıda forum, torrent izleyici ve blog aracılığıyla dağıtılmaktadır.
Kötü amaçlı yazılım, hedef sistemlere bulaşmak için kabuk kodlama teknikleri de dahil olmak üzere karmaşık bir yürütme zinciri benimser. Kurulumdan sonra SteelFox, ayrıcalıkları sürdürmek ve yükseltmek için Windows hizmetlerini ve sürücülerini kullanır.
MDR’nin çözmenize yardımcı olabileceği zorluklar -> Ücretsiz Kılavuz Alın
İlk aşama enfeksiyon vektörü, yazılım için meşru bir crack olduğunu iddia eden ancak gerçekte kötü amaçlı bir veri indiren ve onu sistemde çalıştıran bir çalıştırılabilir dosya kullanır.
Bunu bir Windows hizmeti olarak yürütmek için SİSTEM ayrıcalıklarıyla çalışmasını sağlayan özel bir prosedür kullanılır.
Kaspersky raporuna göre, kimlik bilgisi ve kredi kartı veri hırsızlığı, SteelFox’un temel işlevleri arasında yer alıyor; bunlara bir hırsız modülü aracılığıyla kredi kartı bilgilerinin çalınması da dahil.
SSL sabitleme ve TLSv1.3 protokolünü kullanarak C2 sunucusuyla iletişim kuran kötü amaçlı yazılım, Boost ile tasarlandı. Asio kütüphanesi, tespitten kaçınmak için hızla değişen bir IP ve değişen alan adı kullanır.
Ayrıca enfeksiyon, güvenliği ihlal edilmiş bir sürücü aracılığıyla virüslü sistemde daha yüksek ayrıcalıklar elde etme yeteneğini de içerir.
Bu tehdit, Kaspersky’nin güvenlik ürünleri paketi tarafından HEUR:Trojan.Win64.SteelFox.gen ve Trojan.Win64.SteelFox.* olarak değerlendirildi.
SteelFox kötü amaçlı yazılımı birden fazla aşamada çalışır. İlk olarak, çok iş parçacıklı ağ iletişimini sağlamak için rastgele adlandırılmış bir muteks oluşturur.
Daha sonra, kötü amaçlı yazılımın virüslü sistemle iletişim kurmasına ve sistemdeki ayrıcalıkları yükseltmesine olanak tanıyan, savunmasız bir WinRing0.sys sürücüsüne sahip bir hizmet yükler. Bu eski sürücünün SteelFox’un istismar ettiği güvenlik açıklarına sahip olduğu biliniyor.
Daha sonra SteelFox, alan adı çözümlemesini gizlemek için Google’ın HTTPS üzerinden DNS’sini kullanarak sabit kodlanmış bir C2 alanını çözer ve ardından SSL sabitlemeyle güvenlik altına alınan TLS 1.3 bağlantısını kullanarak C2 sunucusuna bağlanır.
Bir bağlantı kurulduktan sonra, kötü amaçlı yazılımın çalma modülü, kullanıcının tarayıcı çerezleri, kredi kartları, ziyaret edilen web sitelerinin geçmişi, yüklü uygulamalar, işletim sisteminin özellikleri, ağ parametreleri vb. dahil olmak üzere kullanıcıdan büyük miktarda hassas veri çıkarır.
Bu bilgi, JSON dosyalarından oluşan son derece sorunlu bir veri aracılığıyla saldırganın komuta ve kontrol sunucusuna gönderilir.
SteelFox, ayrım gözetmeksizin işlemi başlatıyor ve sahte AutoCAD, JetBrains, Foxit veya benzeri programları kullanmaya çalışan kullanıcıların tarayıcılarına bulaşıyor.
Hiçbir ayrıntılı sonuca varılmamıştır ve sadece bu da değil, bu özel kampanya için net bir atıf da yapılmamıştır.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!