Yazılım Etkinleştirici Görünümündeki Yeni SteelFox Zararlı Yazılımı, 11.000'den Fazla Windows Sistemini Enfekte Etti

08.11.2024

Windows sistemleri, masaüstü işletim sistemi pazarında ’in üzerinde bir paya sahip oldukları için, hackerlar tarafından öncelikli hedef olarak seçiliyor. Saldırıların neredeyse ’si, güvenliği ihlal edilmiş Windows sistemlerine yönelik gerçekleşiyor, bu da onları ideal bir hedef haline getiriyor.

Kısa süre önce Kaspersky araştırmacıları, "SteelFox" adını verdikleri ve yazılım etkinleştiricileri kılığına girerek 11.000'den fazla Windows cihazını enfekte eden yeni bir zararlı yazılım keşfetti. Ağustos 2024'te tespit edilen SteelFox, Foxit PDF Editor ve AutoCAD gibi popüler yazılımlar için sahte etkinleştiriciler olarak çeşitli forumlar, torrent siteleri ve bloglar aracılığıyla yayılıyor.

SteelFox karmaşık bir enfeksiyon süreci kullanıyor. İlk olarak, bir crack dosyası olarak kendini gizliyor; çalıştırıldığında sisteme zararlı kod indirip çalıştırıyor. Windows servisi olarak kurulan bu zararlı yazılım, sistemde kalıcılık sağlıyor ve kimlik bilgileri ile kredi kartı verilerini çalmak gibi yüksek ayrıcalıklı işlemleri gerçekleştirebiliyor. Kaspersky, bunu HEUR .Win64.SteelFox.gen gibi tanımlamalarla tespit etti.
.Win64.SteelFox.gen.

Zararlı yazılım, komuta ve kontrol (C2) sunucusuyla rastgele oluşturulmuş IP adresleri ve sürekli değişen bir alan adı aracılığıyla SSL pinning ve TLSv1.3 protokollerini kullanarak iletişim kuruyor, bu da algılanmasını zorlaştırıyor. C2 bağlantısı kurulduktan sonra SteelFox'un bilgi çalma modülü, tarayıcı çerezleri, kredi kartı bilgileri, tarayıcı geçmişi ve ağ bilgileri gibi hassas verileri toplayarak şifrelenmiş JSON dosyaları aracılığıyla saldırgana gönderiyor.

SteelFox, sistemdeki ayrıcalıkları artırmak ve enfeksiyonu daha da güçlendirmek için savunmasız WinRing0.sys sürücüsünden yararlanıyor. Ayırt etmeksizin sahte crack veya etkinleştirici kullanmaya çalışan tüm Windows kullanıcılarını hedefleyen bu tehdidin kaynağı ve arkasındaki aktörler ise henüz belirlenemedi.