本篇圖片與文章引自TWCERT/CC,ACW小編整理。
⚠ 資安情資重點說明
新的犯罪軟體「SteelFox」,主要透過使用自帶易受攻擊的驅動程式技術在 Windows 機器上獲取 SYSTEM 許可權,以挖掘加密貨幣並竊取信用卡數據等資料。研究人員在8月發現了 SteelFox 活動,並表示該惡意軟體自 2023 年 2 月以來一直存在,主要透過論壇貼文、部落客等管道進行傳播。
卡巴斯基的研究人員指出,SteelFox 攻擊並沒有特定的目標,但主要針對 AutoCAD以及 Foxit PDF Editor 的使用者,該惡意軟體破壞了巴西、中國、俄羅斯、墨西哥、阿聯酋、埃及、越南、印度和斯里蘭卡等許多國家地區的系統。SteelFox 活動的初始階段是一個打包大檔案。在啟動時,程式會先以一個 GUI ,要求使用者選擇 Foxit PDF Editor 安裝路徑。由於軟體通常安裝在 Program Files 中,因此添加破解需要管理員訪問許可權,這正是惡意軟體在進行攻擊所使用的許可權。卡巴斯基研究人員表示,「在檔解壓縮的那一刻之前,執行鏈看起來是合法的,但是在此過程中添加了一個惡意函數,該函數會掉落在載入 SteelFox 的機器代碼上,並使用AES-128加密技術避開嵌入式PE解析器進行偵測,隨後採用AES-NI指令集簡化加密過程。
接著建立新的系統服務,使其能透過重新啟動,當SteelFox成功控制受害者主機,會進一步在系統檔案中植入更多惡意軟體,且將自己註冊為Windows服務,使得檢測和刪除惡意檔案變得更加困難。成功建立連接后,竊取程式就會發揮作用,此元件可以收集大量最終用戶的機敏資料包含:提取 cookie、信用卡數據、瀏覽歷史記錄等。
SteelFox ,是一個功能齊全的犯罪軟體。能夠竊取此活動背後的參與者可能感興趣的各種用戶數據,使用 TLSv1.3 和 SSL 連線,可確保安全通信和敏感數據的收集。
⚠建議採取資安強化措施
1. 為了降低此類惡意活動,建議使用者從官方網站下載正版軟體,並對於任何免費破解軟體保持高度警惕。
2. 建議國內企業可參考台灣電腦網路危機處理暨協調中心(TWCERT/CC) |
「勒索軟體防護專區」的指南與檢核表,以預防駭侵攻擊。專區內提供事前-勒索軟體預防措施、事中-被勒索軟體攻擊時的應變措施以及事後-回復階段的作法。
⚠ 相關參考連結
https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/
https://www.twcert.org.tw/tw/cp-104-8258-40632-1.html