#ParsedReport #CompletenessMedium
06-11-2024

CopyRh(ight)adamantys Campaign: Rhadamantys Exploits Intellectual Property Infringement Baits

https://research.checkpoint.com/2024/massive-phishing-campaign-deploys-latest-rhadamanthys-version

Report completeness: Medium

Actors/Campaigns:
Copyrhight_adamantys (motivation: financially_motivated, cyber_espionage, cyber_criminal)
Void_manticore
Handala-hacking-team

Threats:
Rhadamanthys
Dll_sideloading_technique
Spear-phishing_technique
Infostealer.wins

Industry:
Entertainment, Critical_infrastructure, Government

Geo:
Iran, Albania, Israeli, America, Korean, Middle east, Russia, Asia, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1547.001, T1574.002, T1027

IOCs:
File: 11
Hash: 124
IP: 6

Soft:
Gmail, Telegram, Dropbox, Discord

Wallets:
harmony_wallet

Crypto:
bitcoin

Algorithms:
zip

Languages:
lua

Platforms:
x64, x86, amd64

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной фишинговой кампании под названием CopyRh(ight)adamantys, которая использует Rhadamanthys stealer 0.7 для борьбы с регионами по всему миру, особенно в Соединенных Штатах, Европе, Восточной Азии и Южной Америке. Кампания включает в себя выдачу себя за различные компании, в том числе из сферы развлечений/МЕДИА и технологий/программного обеспечения, чтобы обманом заставить получателей загрузить вредоносные файлы. Злоумышленники используют автоматизацию и, возможно, интеграцию с искусственным интеллектом для создания персонализированных фишинговых электронных писем, адресованных конкретным лицам. Несмотря на прежние связи с представителями национальных государств, эта кампания, по-видимому, имеет финансовую подоплеку, демонстрируя оперативную эффективность и тактику, направленную на то, чтобы избежать разоблачения.
-----

В фишинговой кампании под названием CopyRh(ight)adamantys используется Rhadamanthys stealer версии 0.7.

Нацелен на регионы, включая Соединенные Штаты, Европу, Восточную Азию и Южную Америку, выдавая себя за компании в сфере развлечений/МЕДИА и технологий/программного обеспечения.

Использует инструменты искусственного интеллекта для автоматизации процессов; Rhadamanthys 0.7 утверждал, что распознает текст с помощью искусственного интеллекта, но на самом деле использует более старые методы машинного обучения.

Кампания, действующая с июля 2024 года, включает в себя фишинговые электронные письма, в которых получатели обвиняются в нарушении авторских прав на Facebook с целью побуждения к загрузке.

Выдает себя за известные компании в фишинговых электронных письмах с просьбой удалить предполагаемый контент, нарушающий авторские права.

Процесс заражения включает загрузку защищенного паролем архива, содержащего легальные файлы и вредоносную DLL-библиотеку, загруженную с помощью Rhadamanthys.

Последняя версия включает в себя модуль распознавания текста и другие функции, расширяющие возможности скрытности.

Создается впечатление, что он управляется финансовыми средствами, а не спонсируется государством, демонстрируя оперативную эффективность и широкий спектр целевых характеристик, характерных для киберпреступных группировок.

#ParsedReport #CompletenessMedium
05-11-2024

RunningRAT s Next Move: From Remote Access to Crypto Mining for Profit

https://hunt.io/blog/runningrat-from-remote-access-to-crypto-mining

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Runningrat
Gold_dragon
Brave_prince
Zxshell
Xmrig_miner
Coinminer
Nssm_tool
Hezb
Log4shell_vuln

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1574.001, T1059, T1082, T1106, T1496, T1071

IOCs:
IP: 3
File: 8
Hash: 11
Path: 4
Domain: 1

Soft:
Windows service, PyInstaller

Crypto:
monero

Algorithms:
7zip, sha256

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление RunningRAT, троянца удаленного доступа (RAT), который расширил свои возможности за пределы удаленного доступа и кражи информации, включив в них криптодобычу. В нем рассматривается инфраструктура вредоносного ПО, методы доставки и методы управления, подчеркивается использование открытых каталогов и связи с виртуальным частным сервером (VPS). Анализ также затрагивает исторический контекст RunningRAT, возможности скрытого управления системой, постоянное присутствие в отчетах об угрозах и недавнее участие в деятельности по крипто-майнингу. Благодаря подробному изучению образцов Running Rat, открытых каталогов и связанных с ними файлов, в тексте раскрывается информация о его поведении, тактике развертывания и потенциальных связях с участниками угроз. Эволюция RunningRAT от ее появления в ходе кампаний по подготовке к зимним Олимпийским играм в Пхенчхане в 2018 году до ее нынешнего состояния многофункциональной угрозы демонстрирует адаптивность вредоносного ПО и расширяющийся ландшафт угроз, подчеркивая важность мониторинга и понимания эволюционирующих возможностей вредоносного ПО.
-----

Было замечено, что троянец удаленного доступа RunningRAT (RAT) запускает полезные программы для майнинга криптовалют, что указывает на изменение его функциональности, выходящее за рамки удаленного доступа и кражи информации.

Вредоносная программа использует в своей работе открытые каталоги, а образец размещен в доступном онлайн-хранилище, подключенном к отдельному серверу, на котором размещены инструменты крипто-майнинга.

Running Rat взаимодействует с виртуальным частным сервером (VPS), предлагая скоординированную инфраструктуру для размещения и доставки полезной нагрузки.

Первоначально обнаруженный в ходе кампании, нацеленной на организации, связанные с зимними Олимпийскими играми в Пхенчхане в 2018 году, RunningRAT известен своими возможностями скрытого системного контроля и мониторинга.

Несмотря на минимальное освещение в отчетах об угрозах после 2018 года, образцы Running Rat продолжают появляться на таких платформах, как Malware Bazaar, что указывает на продолжающееся использование.

Исследовательская группа обнаружила открытый каталог в Японии, на котором размещался образец Running Rat и PHP-скрипт, а вредоносная программа демонстрировала схемы развертывания и обслуживания с использованием законных процессов Windows.

Сервер C2, подключенный к RunningRAT, был связан с доменом host404111.xyz и размещался на виртуальном сервере DigitalOcean VPS в США, на котором размещались майнеры криптовалюты, нацеленные на Monero, с помощью программного обеспечения для майнинга XMRig.

Отсутствие адресов кошельков в проанализированных файлах XMRig говорит о том, что они сосредоточены на майнинге, а не на сиюминутной финансовой выгоде.

Вредоносная программа kill.exe была идентифицирована как шпионское ПО, предназначенное для сканирования скомпрометированных устройств на предмет наличия учетных данных, при этом наблюдалась ограниченная передача данных, что может указывать на проблемы с функциональностью.

Эволюция RunningRAT от участия в кампаниях зимних Олимпийских игр в Пхенчхане в 2018 году до участия в крипто-майнинге демонстрирует ее адаптивность и расширяющийся ландшафт угроз.

#ParsedReport #CompletenessHigh
06-11-2024

Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2

https://www.hunters.security/en/blog/veildrive-microsoft-services-malware-c2

Report completeness: High

Threats:
Veildrive
Quick_assist_tool
Spear-phishing_technique
Microsoft_quick_assist_tool
Lite_manager_tool
Runkeys_technique

Industry:
Critical_infrastructure

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1105, T1074.001, T1053.005, T1059.001, T1547.001, T1566.002, T1203, T1113

IOCs:
File: 13
Command: 1
Domain: 4
Registry: 1
IP: 4
Hash: 5

Soft:
Microsoft Teams, Azure Virtual Machine, Azure AD, Microsoft Store, Windows Firewall, Slack

Algorithms:
exhibit, sha256

Functions:
run

Languages:
java, powershell

Links:
https://github.com/profesorfalken/jPowerShell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Команда аналитиков угроз AXON обнаружила и отслеживает сложную кампанию под названием "VEILDrive", ведущуюся из России, которая использует SaaS-сервисы Microsoft для вредоносных действий, подчеркивая необходимость усиленных мер безопасности и активного поиска угроз.
-----

Команда охотников AXON обнаружила и активно отслеживает сложную кампанию под названием "VEILDrive". Эта кампания, созданная в России, была первоначально обнаружена в ходе расследования вредоносной активности в инфраструктуре клиента. Используя различные SaaS-сервисы Microsoft, такие как Teams, SharePoint, Quick Assist и OneDrive, злоумышленник использует уникальный метод управления на основе OneDrive (C&C), встроенный в пользовательскую вредоносную программу.

После реагирования на инцидент, произошедший в сентябре 2024 года в связи с атакой на объект критически важной инфраструктуры в Соединенных Штатах, команда AXON приступила к исследованию кампании VEILDrive. Методы атак, применяемые VEILDrive, значительно отличаются от стандартных практик и в значительной степени зависят от SaaS-инфраструктуры Microsoft для распространения фишинговых кампаний и хранения вредоносного программного обеспечения. Примечательно, что вредоносное ПО, связанное с VEILDrive, представляет собой jar-файл на базе Java, не содержащий обфускации, что демонстрирует возможность обхода инструментов обнаружения конечных точек и реагирования на них (EDR) верхнего уровня и традиционных механизмов безопасности на VirusTotal.

Злоумышленник, стоявший за VEILDrive, использовал Microsoft Teams для того, чтобы выдать себя за члена ИТ-команды и провести фишинговые атаки на отдельных сотрудников "Org C". Используя Quick Assist, злоумышленник получил доступ к устройствам жертв и в конечном итоге поделился ссылкой на файл SharePoint, содержащий другие вредоносные программы. В ходе детального анализа было выявлено, что вредоносная программа выполняла различные сетевые действия и команды, поддерживая постоянство работы с помощью запланированных задач и изменений реестра.

Дальнейшее изучение структуры вредоносного ПО с помощью Java-декомпилятора показало, что оно использует жестко запрограммированные учетные данные для аутентификации при доступе к ресурсам Entra ID OneDrive. Вредоносная программа установила каналы управления (C2) через сокеты HTTPS и связь на основе OneDrive, используя отдельные файлы с идентификаторами UUID для взаимодействия с устройствами-жертвами. Этот инновационный C2 через OneDrive предоставил злоумышленнику возможности, выходящие за рамки простого выполнения команд, включая передачу файлов.

В отчете подчеркивается широкое использование злоумышленниками служб и инфраструктуры Microsoft, что подчеркивает необходимость принятия усиленных мер безопасности. Рекомендации включают отключение внешнего доступа в Microsoft Teams, ограничение использования средств удаленного администрирования только одобренными приложениями и проведение целенаправленного обучения по вопросам безопасности для предотвращения фишинговых атак. Анализ VEILDrive подчеркивает сочетание традиционных и передовых методов атаки, а также важность упреждающего поиска угроз и мониторинга для борьбы с развивающимися киберугрозами.

#ParsedReport #CompletenessHigh
06-11-2024

CRON#TRAP: Emulated Linux Environments as the Latest Tactic in Malware Staging

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging

Report completeness: High

Actors/Campaigns:
Cron-trap

Threats:
Chisel_tool
Spear-phishing_technique

Victims:
Oneamerica

Geo:
America

TTPs:
Tactics: 6
Technics: 14

IOCs:
File: 5
Url: 2
Path: 1
IP: 3
Hash: 13

Soft:
Linux, QEMU Linux, QEMU, Linux QEMU, openssh, sudo, curl

Algorithms:
zip

Languages:
golang, powershell

Platforms:
arm, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Команда исследователей угроз Securonix обнаружила сложную кампанию атак под названием CRON#TRAP, в рамках которой злоумышленники используют пользовательскую эмулируемую среду Linux с помощью QEMU, чтобы оставаться на конечных точках, проводить необнаруженные вредоносные действия и поддерживать постоянный доступ, комбинируя методы фишинга, средства скрытой коммуникации, такие как Chisel, и законное программное обеспечение, чтобы избежать обнаружения.
-----

Команда исследователей угроз Securonix обнаружила сложную кампанию атак, известную как CRON#TRAP, в ходе которой злоумышленники используют пользовательскую эмулируемую среду Linux через QEMU для сохранения на конечных точках. Эта атака инициируется с помощью фишинговых электронных писем, содержащих вредоносный файл быстрого доступа (.lnk), который при запуске создает скрытую среду с бэкдором, подключающимся к командному серверу злоумышленника. Такое скрытное присутствие позволяет злоумышленникам совершать вредоносные действия, не обнаруживаемые традиционным антивирусным программным обеспечением.

Злоумышленники маскируются под финансовое учреждение OneAmerica в качестве фишинговой приманки, заставляя жертв загружать zip-файл размером 285 МБ под названием "OneAmerica Survey", который содержит замаскированный каталог установки QEMU. Запущенный файл быстрого доступа извлекает содержимое в скрытую папку с данными и запускает эмулируемую среду Linux с помощью PowerShell. Злоумышленники стратегически используют различные тактики, такие как отображение ложных сообщений об ошибках, чтобы отвлечь внимание, и одновременно обеспечивают постоянство путем изменения конфигурации системы.

Злоумышленники систематически устанавливают и запускают различные полезные программы, тестируя и модифицируя их до тех пор, пока они не начнут функционировать должным образом. Они загружают и запускают файлы crondx несколько раз, возможно, изменяя полезную нагрузку для достижения оптимальной производительности. Основным двоичным файлом, выполняемым в эмулируемой среде, является 64-разрядный ELF-исполняемый файл Chisel-клиента, предварительно сконфигурированный для подключения к серверу C2 злоумышленника через websockets. Этот настроенный клиент Chisel функционирует как полноценный бэкдор, предоставляя зашифрованный удаленный доступ для управления дополнительной полезной нагрузкой или фильтрации данных.

Подход злоумышленников демонстрирует высокий уровень изощренности, сочетая методы фишинга, эмулируемую среду и средства скрытой коммуникации, такие как Chisel, позволяющие избежать обнаружения и поддерживать постоянный доступ к скомпрометированным системам. Использование легального программного обеспечения, такого как QEMU и Chisel, еще больше повышает их скрытность, поскольку эти инструменты обычно используются в законных сценариях разработки и исследований, что снижает вероятность срабатывания охранной сигнализации.

#ParsedReport #CompletenessMedium
06-11-2024

Supply Chain Attack Using Ethereum Smart Contracts to Distribute Multi-Platform Malware

https://checkmarx.com/uncategorized/supply-chain-attack-using-ethereum-smart-contracts-to-distribute-multi-platform-malware

Report completeness: Medium

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Developers

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195.001, T1204.002, T1078.003, T1546.015, T1053.005

IOCs:
Coin: 2
Hash: 3
Url: 4

Soft:
Linux, macOS

Crypto:
ethereum

Algorithms:
sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://gist.github.com/masteryoda101/d4e90eb8004804d062bc04cf1aec4bc0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Обнаружена сложная атака на цепочку поставок, нацеленная на экосистему NPM с использованием вредоносного пакета "jest-fet-mock", который распространяет вредоносное ПО на платформах Windows, Linux и macOS. Эта атака отличается использованием смарт-контрактов Ethereum для операций командования и контроля, что ставит перед специалистами в области безопасности новую задачу. Злоумышленники сосредотачиваются на компрометации сред разработки, выдавая себя за законные утилиты тестирования и используя блокчейн для обеспечения устойчивой связи, что подчеркивает необходимость принятия надежных мер безопасности при управлении пакетами и проверке инструментов.
-----

Недавно команда безопасности обнаружила уникальную атаку на цепочку поставок, направленную на экосистему NPM, с использованием вредоносного пакета "jest-fet-mock". Этот пакет, который выдает себя за популярную утилиту для тестирования, на самом деле распространяет вредоносное ПО на платформах Windows, Linux и macOS. Отличительной особенностью этой атаки является использование смарт-контрактов Ethereum для управления операциями, что стало первым случаем вредоносного ПО в экосистеме NPM, применившего этот метод. Используя технологию блокчейн в сочетании с традиционными векторами атаки, злоумышленники создали новую проблему для специалистов в области безопасности.

Атака начинается с вредоносного пакета "jest-fet-mock", который был разработан для того, чтобы выдавать себя за две законные утилиты тестирования JavaScript, обычно используемые для тестирования HTTP-запросов в приложениях JavaScript. Используя метод опечаток, при котором "fetch" с ошибкой пишется как "fet", злоумышленники пытались обмануть разработчиков, которые часто имеют повышенные системные привилегии, поскольку используют эти инструменты в своих средах разработки. Компрометация тестовых сред с помощью этого пакета подчеркивает целенаправленный характер атаки, направленной на инфраструктуру разработки.

Одной из ключевых особенностей этой атаки является интеграция смарт-контрактов Ethereum в инфраструктуру управления. Вредоносное ПО взаимодействует с определенным смарт-контрактом в блокчейне Ethereum, чтобы получить адрес сервера управления. Используя блокчейн таким образом, злоумышленники получают выгоду от инфраструктуры, которая обладает высокой устойчивостью к попыткам взлома благодаря своей неизменяемой и децентрализованной природе. Смарт-контракт действует как общедоступная доска объявлений, где хранится адрес сервера, что позволяет злоумышленникам легко обновлять его для перенаправления сообщений в случае необходимости.

Во время установки сценарий предварительной установки вредоносного ПО идентифицирует операционную систему хоста и генерирует URL-адрес для конкретной платформы для загрузки полезной нагрузки, гарантируя, что вредоносное ПО может запускаться независимо от процесса установки. Анализ вариантов вредоносного ПО выявил различные возможности, включая разведку системы, кражу учетных данных и механизмы сохранения, адаптированные для различных платформ. Несмотря на свою сложную природу, эти варианты вредоносного ПО не были помечены как вредоносные ни одним из поставщиков средств безопасности, что подчеркивает скрытый характер атаки.

Стратегия скоординированной кросс-платформенной атаки нацелена на среды разработки путем компрометации инструментов и утилит, обычно используемых в конвейерах CI/CD и системах сборки. Используя технологию блокчейн для управления, злоумышленники создали серьезную угрозу, которая создает трудности для обнаружения и устранения последствий. Активный характер этой угрозы подчеркивает важность надежных мер безопасности при управлении пакетами и проверке законности инструментов, используемых в процессах разработки.

#ParsedReport #CompletenessMedium
06-11-2024

New SteelFox Trojan mimics software activators, stealing sensitive data and mining cryptocurrency

https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414

Report completeness: Medium

Threats:
Steelfox
Xmrig_miner
Junk_code_technique

Victims:
Foxit pdf editor, Autocad, Jetbrains

Geo:
India, Algeria, Sri lanka, Russia, Vietnam, Russian, China, Mexico, Chinese, Egypt, Brazil

CVEs:
CVE-2021-41285 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- micron ballistix memory overview display utility (le2.0.2.5)

CVE-2020-14979 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- evga precision x1 (le1.0.6)
- winring0 project winring0 (1.2.0)


ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1105, T1573, T1005, T1071, T1027

IOCs:
File: 1
Hash: 23
Path: 2
Url: 13
IP: 1

Soft:
Foxit, AutoCAD, JetBrains, Windows service, wolfSSL, chrome, opera, opera_gx, firefox, vivaldi, have more...

Algorithms:
xor, aes-128

Win API:
GetModuleFileNameW, StartServiceCtrlDispatcherW, ImpersonateLoggedOnUser, NetUserEnum, WTSQuerySessionInformationW

Platforms:
amd64, x86

Links:
https://opentip.kaspersky.com/hxxps%3A%2F%2Fgithub.com%2FTrungGa123%2FActive-all-app-Jetbrains%2F/?icid=gl\_securelist\_acq\_ona\_smm\_\_onl\_b2c\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_f6e007ce46c9bf12&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/hxxps%3A%2F%2Fgithub.com%2Ftranquanghuy-09%2Factivate-intellij-idea-ultimate%2F/?icid=gl\_securelist\_acq\_ona\_smm\_\_onl\_b2c\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_f3602f401c635935&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/hxxps%3A%2F%2Fgithub.com%2FDavidNguyen67%2FCrackJetbrains/?icid=gl\_securelist\_acq\_ona\_smm\_\_onl\_b2c\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_63ed2c0468c0c8d1&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается новый пакет вредоносных программ под названием "SteelFox", обнаруженный группой анализа угроз в августе 2024 года. SteelFox использует сложные цепочки выполнения, включающие шеллкодинг, для злоупотребления службами и драйверами Windows. Она распространяется через форумы, торрент-трекеры и блоги, маскируясь под популярные программы, такие как Foxit PDF Editor и AutoCAD. SteelFox использует вредоносную программу-воришку для извлечения данных кредитных карт и сведений об устройстве у жертв, используя SSL-привязку и TLSv1.3 для связи со своим сервером управления. Угроза может повысить привилегии за счет использования уязвимого драйвера и включает компоненты для майнинга криптовалют. SteelFox работает в больших масштабах, заражая пользователей по всему миру, особенно тех, кто загружает скомпрометированное программное обеспечение. Защита от SteelFox заключается в установке приложений из официальных источников и использовании надежных решений для обеспечения безопасности.
-----

В августе 2024 года был обнаружен новый пакет вредоносных программ под названием "SteelFox"; он распространяется через форумы, торрент-трекеры и блоги, маскируясь под популярные программы, такие как Foxit PDF Editor и AutoCAD.

SteelFox использует сложные цепочки выполнения, включающие шелл-кодирование, для злоупотребления службами и драйверами Windows, а также использует вредоносные программы-похитители для извлечения данных кредитных карт и сведений об устройстве у жертв.

Угроза взаимодействует со своим сервером управления с помощью протокола SSL и протокола TLSv1.3, а домен имеет динамически изменяющийся IP-адрес и реализован с использованием Boost.Библиотека Asio.

Продукты Касперского обнаруживают SteelFox как "HEUR:Trojan.Win64.SteelFox.gen" и "Trojan.Win64.SteelFox.*".

SteelFox может повысить свои привилегии, используя уязвимый драйвер, и с февраля 2023 года проводит кампанию по заражению, используя пакет вредоносных программ, состоящий из майнеров и похитителей.

Злоумышленник обновляет зависимости без функциональных изменений, чтобы избежать обнаружения.

Первоначальный вектор атаки SteelFox заключался в распространении дроппера, замаскированного под трещины для таких программ, как Foxit PDF Editor, JetBrains и AutoCAD, для доставки вредоносного ПО в системы жертв.

Злоумышленник использует обманную тактику, чтобы получить доступ администратора и установить вредоносный код в систему жертвы, используя при этом схемы шифрования для удаленного вредоносного ПО.

Вредоносная программа включает в себя компоненты для взаимодействия с майнером XMRig для майнинга криптовалюты и собирает пользовательские данные в формате JSON для отправки на сервер C2.

SteelFox - это крупномасштабная угроза, которая поражает пользователей по всему миру, особенно в таких странах, как Бразилия, Китай, Россия и Мексика, и в первую очередь нацелена на лиц, загружающих скомпрометированное программное обеспечение. Защита включает установку приложений из официальных источников и использование надежных решений для обеспечения безопасности.