มัลแวร์ SteelFox โจมตีผู้ใช้งาน Windows ที่ชอบดาวน์โหลดซอฟต์แวร์เถื่อน

ถึงแม้ระบบปฏิบัติการ Windows นั้นจะเป็นระบบที่ถูกแฮกและมัลแวร์เจาะบ่อยจนต้องมีการอัปเดตความปลอดภัยกันต่อเนื่องทุกเดือน แต่แฮกเกอร์ก็ยังสามารถหาช่องโหว่ใหม่ ๆ ในการฝังมัลแวร์ลงระบบสำเร็จอยู่เสมอ

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้รายงานถึงการตรวจพบมัลแวร์ SteelFox ซึ่งเป็นมัลแวร์ที่ทำหน้าที่ 2 อย่างคือ เข้าใช้งานทรัพยากรของเครื่องเพื่อขุดเหรียญคริปโตเคอร์เรนซี และอย่างที่ 2 คือ ทำหน้าที่ขโมยข้อมูลบัตรเครดิตต่าง ๆ โดยพุ่งเป้าไปที่กลุ่มผู้ใช้งาน Windows ซึ่งการตรวจพบดังกล่าวนั้นก็เป็นผลงานจากทีมวิจัยแห่งบริษัท Kaspersky ผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดัง

โดยมัลแวร์ดังกล่าวนั้นเผยแพร่ตัวเองด้วยการฝังมัลแวร์นกต่อ (Dropper) ไว้ยังเว็บไซต์สำหรับดาวน์โหลดซอฟต์แวร์เถื่อน และเว็บไซต์ Torrent ต่าง ๆ ซึ่งโดยมากจะฝังตัวอยู่ในตัวแคร็ก (Crack) ของมัลแวร์ชื่อดัง เช่น Foxit PDF Editor, JetBrains และ AutoCAD เป็นต้น ซึ่งตัวมัลแวร์นกต่อนี้จะขอสิทธิ์สำหรับเข้าถึงระบบในระดับผู้ดูแล (Administrator) หลังจากที่เหยื่อทำการใช้งานตัวแคร็กปนเปื้อนมัลแวร์ ซึ่งหลังจากที่มัลแวร์ได้สิทธิ์แล้ว ตัวมัลแวร์ก็จะคลายไฟล์แล้วปล่อยโค้ดของ SteelFox ลงมา

ภาพจาก : https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/

ซึ่งตัว SteelFox การจะทำการฝัง Service ที่มีการรันไฟล์ไดร์เวอร์ WinRing0.sys (ไดร์เวอร์ที่ให้สิทธิ์ฮาร์ดแวร์ในการเข้าถึงการใช้งาน Library) โดยช่องโหว่ที่ใช้งานนั้นจะเป็นช่องโหว่เกี่ยวกับการเพิ่มระดับสิทธิ์ในการใช้งานระบบที่มีชื่อว่า CVE-2020-14979 และ CVE-2021-41285 ซึ่งมีความสามารถในการอัปเกรดสิทธิ์ในการเข้าถึงระบบของมัลแวร์ให้สูงถึงระดับ NT/SYSTEM ซึ่งเป็นระดับสูงที่สุด (สูงกว่าระดับผู้ดูแล) ทำให้ตัวมัลแวร์สามารถเข้าถึงทรัพยากร และ Process ทุกอย่างได้โดยไม่มีข้อจำกัด โดยหลังจากที่ปฏิบัติการเข้ายึดระบบได้สำเร็จ มัลแวร์ก็จะทำการติดต่อการเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) พร้อมระบบป้องกันการแทรกแซงการติดต่อด้วยการใช้ connection ในรูปแบบ SSL pinning และ TLS v1.3

นอกจากความสามารถในการขุดเหรียญคริปโตเคอร์เรนซีแล้ว มัลแวร์ยังมีความสามารถที่คล้ายคลึงกับมัลแวร์ประเภทเพื่อการขโมยข้อมูล (Infostealer) อีกด้วย โดยทีมวิจัยพบว่าตัวมัลแวร์สามารถขโมยข้อมูลจากเว็บเบราว์เซอร์ได้มากกว่า 13 ตัว ซึ่งจะเป็นการขโมยข้อมูลสำคัญมากมาย เช่น ข้อมูลบัตรเครดิต, ไฟล์คุกกี้, และข้อมูลการเข้าเว็บไซต์ต่าง ๆ  นอกจากนั้นตัวมัลแวร์ยังมีการขโมย ข้อมูลเกี่ยวกับระบบ. ข้อมูลด้านเครือข่าย, และข้อมูลการติดต่อของ Remote Desktop Protocol (RDP) อีกด้วย

ปัจจุบันนั้นขอบข่ายการระบาดของมัลแวร์ยังคงอยู่ในแถบประเทศ บราซิล, จีน, รัสเซีย, เม็กซิโก, UAE, อียิปต์, อัลจีเรีย, เวียดนาม, อินเดีย, และ ศรีลังกา แต่ถึงกระนั้นทุกคนก็ควรให้ความระมัดระวัง โดยเฉพาะอย่างยิ่งกลุ่มผู้ที่นิยมใช้งานซอฟต์แวร์เถื่อน เนื่องจากมัลแวร์ดังกล่าวซ่อนตัวอยู่ใน Crack สำหรับการใช้งานซอฟต์แวร์ละเมิดลิขสิทธิ์ ถ้าดาวน์โหลดเจอก็สามารถติดได้โดยที่ไม่ต้องอยู่ในประเทศในรายชื่อที่กล่าวมาแต่อย่างใด