'SteelFox'라는 새로운 악성 패키지가 발견되었다. 이 패키지는 윈도우 기계에서 시스템 권한을 얻기 위해 취약한 드라이버를 사용하는 'bring your own vulnerable driver' 기법을 사용하여 암호화폐를 채굴하고 신용카드 데이터를 도난합니다. 이 악성 패키지는 Foxit PDF Editor, JetBrains, AutoCAD 등의 다양한 소프트웨어의 합법적인 버전을 활성화하는 크랙 도구로서 포럼과 토렌트 트래커를 통해 배포됩니다.
Kaspersky 연구자들은 이 SteelFox 캠페인을 발견했으며, 이 악성 소프트웨어는 2023년 2월부터 존재했으며 최근에는 토렌트, 블로그, 포럼 게시물 등 다양한 채널을 통해 배포가 증가했다고 밝혔습니다. Kaspersky에 따르면, 그들의 제품은 SteelFox 공격을 11,000회 탐지하고 차단했습니다.
SteelFox는 WinRing0.sys 드라이버를 사용하여 권한 상승을 얻고, 이 드라이버는 암호화폐 채굴에도 사용됩니다. 또한, 이 악성 소프트웨어는 SSL 핀닝과 TLS v1.3을 사용하여 명령 및 제어(C2) 서버와 연결을 설정하며, 이를 통해 통신이 가로채이는 것을 방지합니다. 또한, 13개의 웹 브라우저, 시스템, 네트워크, RDP 연결 정보 등을 추출하는 정보 도용 컴포넌트를 활성화합니다.
요약
- 'SteelFox'라는 새로운 악성 패키지가 발견되었으며, 이는 윈도우 기계에서 시스템 권한을 얻기 위해 취약한 드라이버를 사용한다.
- 이 악성 패키지는 다양한 소프트웨어의 합법적인 버전을 활성화하는 크랙 도구로서 포럼과 토렌트 트래커를 통해 배포된다.
- Kaspersky 연구자들은 이 악성 소프트웨어가 2023년 2월부터 존재했으며, 최근에는 배포가 증가했다고 밝혔다.
- SteelFox는 WinRing0.sys 드라이버를 사용하여 권한 상승을 얻고, 이 드라이버는 암호화폐 채굴에도 사용된다.
- 이 악성 소프트웨어는 SSL 핀닝과 TLS v1.3을 사용하여 명령 및 제어(C2) 서버와 연결을 설정하며, 이를 통해 통신이 가로채이는 것을 방지한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.