新的 SteelFox 木马模仿软件激活器，窃取敏感数据并挖掘加密货币

• SteelFox 通过论坛帖子和恶意种子进行分发。

• 它通过 SSL 固定和 TLSv1.3 与其 C2 通信。它利用具有动态变化 IP 的域，并使用 Boost.Asio 库实现。

• SteelFox 可以通过利用易受攻击的驱动程序来提升其特权。

卡巴斯基的产品将此威胁检测为 HEUR：Trojan.Win64.SteelFox.gen、Trojan.Win64.SteelFox.*。

我们的调查使我们发现，SteelFox 的初始攻击媒介包括论坛和 Torrent 跟踪器上的几种不同出版物。这些帖子将 SteelFox dropper 称为免费激活合法软件产品的有效方式。我们已经看到 dropper 假装是 Foxit PDF Editor、JetBrains 和 AutoCAD 的破解版。虽然这些 dropper 确实具有宣传的功能，但它们也会将复杂的恶意软件直接传送到用户的计算机上。

在这项研究中，我们描述了模仿 Foxit PDF Editor 激活器的示例。SteelFox 活动的初始阶段是一个名为 foxitcrack.exe 的 AMD64 可执行文件，其中包含一个很大的 .rdata 部分。从高熵来看，文件似乎是打包的。在启动时，程序会以一个 GUI 欢迎我们，要求我们选择 Foxit PDF Editor 安装路径。

在解压缩文件之前，执行链看起来是合法的。在合法功能之前，会插入一个恶意功能，该功能负责将恶意代码拖放到目标用户的系统上。

之后，将修改嵌入式有效负载（实际上是 PE64 可执行文件）以避免检测。链接时间戳将被 2022 年 5 月至 2022 年 12 月范围内的随机日期以及链接器版本覆盖。随机垃圾数据也会插入到 .rdata 节中，以避免哈希检测。这是通过嵌入式 PE 解析器完成的。

此服务从 svchost.exe 作为常规 Windows 服务启动。首先，它获取当前可执行文件的全名，并将其与服务二进制文件名称进行比较，以检查加载程序是否作为服务启动。如果成功通过检查，则服务将列出所有正在运行的服务（具有 SERVICE_ACTIVE 状态），并获取其可执行路径和描述。这是检查调试器的一种非常奇特的方法，因为如果二进制文件没有作为服务启动，加载程序将引发异常并退出。此算法在 loader 代码中进行了混淆处理，但在去混淆后，它类似于以下内容：

执行流现在继续执行 StartServiceCtrlDispatcherW 函数。它使用负责解密和注入的函数注册调度程序。它控制服务的状态，处理服务重启和关闭信号等。

在执行实际有效负载之前，恶意软件会触发一种不寻常的持久性机制：一个小但相当重要的步骤。此阶段启动 AppInfo 服务，然后在其中加载。这使得用户无法对此加载程序执行任何操作，因为即使复制此示例也需要 NTSYSTEM 权限。

目标 DLL 通过恶意 shellcode 加载，并使用 AES-128 加密，其方式与初始阶段前面所述的相同。更高版本的解密也是通过 AES-NI 指令实现的。

恶意 shellcode 分三个基本步骤加载。首先，它为 WinAPI 函数创建一个地址数组，这些函数将在 shellcode 中执行。

开始时，此阶段 （DLL） 会创建一个具有随机生成名称的互斥锁，因为它的网络通信严重依赖于多线程和异步网络 I/O。之后，它执行一项重要任务：创建一个内部运行 WinRing0.sys 驱动程序的服务。此服务附带一个名为 .WinRing0_1_2_0 的管道，它允许进程与驱动程序通信。这是一个相当古老的驱动程序，容易受到 CVE-2020-14979 和 CVE-2021-41285 的攻击，并且允许参与者在允许与驱动程序的直接未经检查的通信并且攻击者控制转发给驱动程序的输入后立即将权限提升到 NTSYSTEM。该驱动程序也是 XMRig 矿工的一个组件，因此它用于挖矿目的。与驱动程序的通信在单独的线程中执行。

初始化驱动程序后，该示例将启动矿工。这表示带有垃圾代码填充程序的 XMRig 的修改可执行文件。它使用硬编码凭证连接到矿池。

成功解决 IP 后，恶意软件通过 TLSv2 连接到其 C1.3 服务器。这种 I/O 模型利用 Boost.Asio 和 wolfSSL 等库，允许攻击者实现端到端 TLSv1.3 通信。

与 v1.2 不同，TLS v1.3 在握手阶段从预选的私有密钥生成会话密钥。在这种情况下，共享密钥是使用 Windows 加密安全的随机数生成器生成的。此外，SteelFox 已完全实施 SSL 锁定，以确保 SSL 通信无法被窃听。有趣的是，SSL 固定仅对 C2 服务器通信启用。

• chrome;
• opera;
• opera_gx;
• brave;
• firefox;
• yandex;
• wave;
• avg;
• avast;
• vivaldi;
• dragon;
• chedot;
• coccoc.

下面提供了提取数据的完整列表。

此活动不针对任何个人或特定组织。相反，它在更大的范围内运行，感染了所有偶然发现受感染软件的人。在进行这项研究时，我们的安全解决方案已经检测到这种威胁超过 11,000 次。各种流行应用程序（如 AutoCAD、JetBrains 和 Foxit）的用户都是目标。我们已经在全球范围内检测到此活动的受害者，其中大多数受影响的用户位于巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡。

对于此特定活动，无法提供归因。带有激活器链接的帖子要么是由被盗用的帐户发布的，要么是由没有经验的用户发布的，他们不知道他们正在传播的威胁。该活动在中国平台百度和俄罗斯种子跟踪器上非常活跃。

SteelFox 最近出现，它是一个功能齐全的犯罪软件捆绑包。它能够窃取此活动背后的参与者可能感兴趣的各种用户数据。现代 C++ 的高度复杂使用与外部库相结合，赋予了这种恶意软件强大的力量。使用 TLSv1.3 和 SSL 固定可确保安全通信和敏感数据的收集。

SteelFox 不针对任何特定的组织或个人。相反，它大规模地作用于，提取以后可以处理的每一比特数据。为确保免受此类威胁，请从官方来源安装应用程序并使用可靠的安全解决方案来防止下载受感染的软件。