SteelFox Trojan IOCs

В августе 2024 года был обнаружен новый криминальный пакет под названием «SteelFox», который распространяется через сообщения на форумах и вредоносные торренты, маскируясь под активаторы популярных программ, таких как Foxit PDF Editor и AutoCAD. Вредоносная программа обманывает пользователей, заставляя их загрузить то, что они считают легитимным программным обеспечением, а затем осуществляет многоступенчатую атаку.

SteelFox Trojan

Первоначальный дроппер запрашивает доступ администратора и использует шифрование AES-128 для передачи и расшифровки полезной нагрузки второго этапа. Этот загрузчик, замаскированный под службу Windows, проверяет запущенные службы, чтобы избежать обнаружения, создает службу для сохранения и загружает последний этап. Последняя полезная нагрузка включает DLL, которая использует уязвимые драйверы WinRing0.sys, что позволяет повысить привилегии и запустить модифицированный майнер XMRig и компонент кражи, собирающий широкий спектр пользовательских данных, включая cookies браузера и информацию о кредитных картах.
Кампания SteelFox носит массовый характер и насчитывает более 11 000 обнаружений по всему миру, в частности в Бразилии, Китае, России, Мексике, ОАЭ, Египте, Алжире, Вьетнаме, Индии и Шри-Ланке. Вредоносная программа использует функцию StartServiceCtrlDispatcherW для расшифровки и внедрения, а также применяет необычный механизм сохранения, взаимодействуя с сервисом AppInfo. Чтобы остаться незамеченным, он разрешает IP-адрес своего C2-сервера с помощью Google Public DNS и DNS по HTTPS и отправляет собранные данные на C2-сервер в большом JSON-файле по протоколу TLSv1.3 с SSL pinning. Кампания не направлена на конкретных людей или организации, а атрибуция остается неопределенной, поскольку сообщения со ссылками на вредоносную программу часто делаются взломанными учетными записями или неосведомленными пользователями.

Indicators of Compromise

IPv4

• 205.185.115.5

URLs

• https://ankjdans.xyz
• https://drive.google.com/file/d/1bhDBVMywFg2551oMmPO3_5VaeYnj7pe5/view?usp=sharing
• https://github.com/cppdev-123
• https://github.com/DavidNguyen67/CrackJetbrains
• https://github.com/TaronSargsyan123/ScaraSimulation
• https://github.com/tranquanghuy-09/activate-intellij-idea-ultimate/
• https://github.com/TrungGa123/Active-all-app-Jetbrains/
• https://raw.githubusercontent.com/DavidNguyen67/CrackJetbrains/main/jetbrains-activator.exe
• https://raw.githubusercontent.com/TaronSargsyan123/ScaraSimulation/main/jetbrains-activator.exe
• https://raw.githubusercontent.com/tranquanghuy-09/activate-intellij-idea-ultimate/main/jetbrains-activator.exe
• https://raw.githubusercontent.com/TrungGa123/Active-all-app-Jetbrains/main/jetbrains-activator.exe
• https://squarecircle.ru/Intelij/jetbrains-activator.exe
• https://www.cloudstaymoon.com/2024/05/06/tools-1

MD5

• 015595d7f868e249bbc1914be26ae81f
• 040dede78bc1999ea62d1d044ea5e763
• 051269b1573f72a2355867a65979b485
• 08fa6ebc263001658473f6a968d8785b
• 0947cca1b5509f1363da20a0a3640700
• 0ce3775fbfbe8f96e769822538c9804c
• 0f2f104dcc4a6c7e3c258857745d70fb
• 11caf769c0fb642bbb3daa63e516ca54
• 5029b1db994cd17f2669e73ce0a0b71a
• 69a74c90d0298d2db34b48fa6c51e77d
• 84b29b171541c8251651cabe1364b7b6
• 9dff2cdb371334619b15372aa3f6085c
• c20e1226782abdb120e814ee592bff1a
• c6e7c8c76c7fb05776a0b64699cdf6e7
• d5290ba0cd8529032849ae567faba1ce
• d715507131bbf4ca1fe7bc4a5ddfeb19
• dc8c18e4b729fdbf746252b2fc1decc5
• dc9d42902bda8d63e5858b2a062aecc1
• e7c4e02e1da5afb56a2df0996784a9d5
• e9a14ae0f7eb81346eac9d039138a7d8
• f3690f597c725553b8ced0179f4f032e
• f8f6c7d65b28b978e4f2a40158973a0c
• fb94950342360aa1656805f6dc23a1a0