-
09/04/2020
-
93
-
612 bài viết
SteelFox Trojan - Phần mềm độc hại biến PC thành "Zombie" đào tiền điện tử
"SteelFox" – Phần mềm độc hại mới khai thác tiền điện tử và đánh cắp dữ liệu thẻ tín dụng bằng cách sử dụng kỹ thuật “bring your own vulnerable driver” (BYOVD) để có được quyền SYSTEM trên các máy tính Windows.
Phần mềm độc hại này sẽ lây nhiễm cho những người đang tìm cách né tránh việc bỏ tiền mua sản phẩm, đánh cắp thông tin cá nhân của họ và biến máy tính của họ thành "Zombie" đào tiền điện tử.
SteelFox Trojan đã bắt đầu xuất hiện trên các trang web vi phạm bản quyền. Trình tải gói phần mềm độc hại này được phân phối qua các diễn đàn và các tracker torrent qua các phần mềm crack của các phần mềm bản quyền như Foxit PDF Editor, JetBrains và AutoCAD…
Việc sử dụng trình điều khiển dễ bị tấn công để nâng cao quyền truy cập là một kỹ thuật thường thấy ở các nhóm tấn công do nhà nước bảo trợ và các nhóm ransomware. Tuy nhiên, kỹ thuật này hiện nay dường như đã mở rộng đến các cuộc tấn công phần mềm độc hại nhằm đánh cắp thông tin.
SteelFox Trojan bắt đầu xuất hiện vào tháng 8 vừa qua. Các công ty bảo mật nhận thấy rằng SteelFox chủ yếu ẩn núp trên các trang web, diễn đàn và dịch vụ torrent hỗ trợ vi phạm bản quyền phần mềm. Và hiện có nhiều bài đăng độc hại quảng bá trình tải gói phần mềm SteelFox đi kèm với hướng dẫn chi tiết về cách kích hoạt phần mềm bất hợp pháp, người dùng cần lưu ý và cẩn trọng.
SteelFox cũng kích hoạt thành phần info-stealer (đánh cắp thông tin), trích xuất dữ liệu từ 13 trình duyệt web, thông tin về hệ thống, mạng và kết nối RDP.
Các nhà nghiên cứu lưu ý rằng SteelFox thu thập từ các trình duyệt dữ liệu như thẻ tín dụng, lịch sử duyệt web và cookie.
Các chuyên gia cho biết mặc dù tên miền C2 mà SteelFox sử dụng đã được mã hóa sẵn, tác nhân đe dọa vẫn có thể giấu nó bằng cách thay đổi địa chỉ IP và phân giải chúng qua Google Public DNS và DNS over HTTPS (DoH).
Các cuộc tấn công SteelFox không nhắm vào mục tiêu cụ thể nào nhưng có vẻ tập trung vào người dùng AutoCAD, JetBrains và Foxit PDF Editor. Dựa trên dữ liệu mà các chuyên gia ANM thu thập được, phần mềm độc hại này đã xâm nhập vào các hệ thống tại các quốc gia như Brazil, Trung Quốc, Nga, Mexico, UAE, Ai Cập, Algeria, Việt Nam, Ấn Độ và Sri Lanka.
SteelFox mặc dù khá mới, nhưng các nhà nghiên cứu cho biết "đây là một gói phần mềm tội phạm hoàn chỉnh". Phân tích phần mềm độc hại cho thấy nhà phát triển của nó có kỹ năng lập trình C++ tốt và đã tạo ra phần mềm độc hại mạnh mẽ bằng cách tích hợp các thư viện bên ngoài.
SteelFox Trojan đã bắt đầu xuất hiện trên các trang web vi phạm bản quyền. Trình tải gói phần mềm độc hại này được phân phối qua các diễn đàn và các tracker torrent qua các phần mềm crack của các phần mềm bản quyền như Foxit PDF Editor, JetBrains và AutoCAD…
Việc sử dụng trình điều khiển dễ bị tấn công để nâng cao quyền truy cập là một kỹ thuật thường thấy ở các nhóm tấn công do nhà nước bảo trợ và các nhóm ransomware. Tuy nhiên, kỹ thuật này hiện nay dường như đã mở rộng đến các cuộc tấn công phần mềm độc hại nhằm đánh cắp thông tin.
SteelFox Trojan bắt đầu xuất hiện vào tháng 8 vừa qua. Các công ty bảo mật nhận thấy rằng SteelFox chủ yếu ẩn núp trên các trang web, diễn đàn và dịch vụ torrent hỗ trợ vi phạm bản quyền phần mềm. Và hiện có nhiều bài đăng độc hại quảng bá trình tải gói phần mềm SteelFox đi kèm với hướng dẫn chi tiết về cách kích hoạt phần mềm bất hợp pháp, người dùng cần lưu ý và cẩn trọng.
SteelFox cũng kích hoạt thành phần info-stealer (đánh cắp thông tin), trích xuất dữ liệu từ 13 trình duyệt web, thông tin về hệ thống, mạng và kết nối RDP.
Các nhà nghiên cứu lưu ý rằng SteelFox thu thập từ các trình duyệt dữ liệu như thẻ tín dụng, lịch sử duyệt web và cookie.
Các chuyên gia cho biết mặc dù tên miền C2 mà SteelFox sử dụng đã được mã hóa sẵn, tác nhân đe dọa vẫn có thể giấu nó bằng cách thay đổi địa chỉ IP và phân giải chúng qua Google Public DNS và DNS over HTTPS (DoH).
Các cuộc tấn công SteelFox không nhắm vào mục tiêu cụ thể nào nhưng có vẻ tập trung vào người dùng AutoCAD, JetBrains và Foxit PDF Editor. Dựa trên dữ liệu mà các chuyên gia ANM thu thập được, phần mềm độc hại này đã xâm nhập vào các hệ thống tại các quốc gia như Brazil, Trung Quốc, Nga, Mexico, UAE, Ai Cập, Algeria, Việt Nam, Ấn Độ và Sri Lanka.
SteelFox mặc dù khá mới, nhưng các nhà nghiên cứu cho biết "đây là một gói phần mềm tội phạm hoàn chỉnh". Phân tích phần mềm độc hại cho thấy nhà phát triển của nó có kỹ năng lập trình C++ tốt và đã tạo ra phần mềm độc hại mạnh mẽ bằng cách tích hợp các thư viện bên ngoài.
Theo Bleepingcomputer