Mới đây, một loại mã độc mang tên SteelFox đã xuất hiện, nhắm vào các hệ thống Windows bằng cách khai thác các driver dễ bị tổn thương nhằm chiếm quyền kiểm soát hệ thống, qua đó đánh cắp dữ liệu nhạy cảm, đặc biệt là thông tin thẻ tín dụng của người dùng. Đây thực sự là một thông tin khá nguy hiểm và anh em thực sự nên cẩn trọng khi sử dụng máy tính của mình. Trong bài viết này, hãy cùng Phong Vũ Tech News tìm hiểu thêm về thông tin này nhé!
- Hướng dẫn cách bật, tắt tường lửa Win 10/11/7 nhanh nhất 2024
- Cách tắt, bỏ gạch đỏ trong Word trên laptop Window, MacBook mới nhất
- Cách kiểm tra PC không lên màn hình cực kì chi tiết
SteelFox, mã độc ẩn mình trong các công cụ bẻ khóa phần mềm bản quyền
Theo Bleeping Computer, SteelFox được phát tán thông qua các trang torrent và diễn đàn dưới dạng các công cụ crack giả mạo nhằm thu hút người dùng. Được thiết kế để trông giống như các công cụ kích hoạt cho phần mềm bản quyền như Foxit PDF Editor, JetBrains và AutoCAD khiến cho người dùng dễ nhầm lẫn và tải về máy.
SteelFox đã bắt đầu được phát hiện từ tháng 8 năm 2023, nhưng theo Kaspersky, thực tế nó đã xuất hiện từ đầu năm 2023 và đang lây lan mạnh qua nhiều kênh như các blog và bài đăng trên diễn đàn. Tại Việt Nam, nhiều bài viết trên những diễn đàn phổ biến về các nội dung bẻ khóa các phần mềm cũng đang được lan truyền, nhiều khả năng sẽ chứa loại mã độc này.
Cách thức hoạt động của SteelFox
Mã độc SteelFox khai thác kỹ thuật lợi dụng driver dễ bị tổn thương – một phương pháp phổ biến trong các cuộc tấn công mạng phức tạp. SteelFox sử dụng driver WinRing0.sys, khai thác các lỗ hổng CVE-2020-14979 và CVE-2021-41285 để chiếm quyền truy cập NT/SYSTEM, mức quyền cao nhất trong hệ thống Windows. Điều này giúp tin tặc truy cập sâu vào các tài nguyên và tiến trình trên thiết bị của nạn nhân.
Khi người dùng tải về các phần mềm crack giả mạo, họ vô tình cấp quyền admin, tạo điều kiện cho mã độc thâm nhập và hoạt động. Mã độc sau đó sẽ cài đặt các thành phần độc hại, ngụy trang như một phần mềm hợp pháp cho đến khi thực sự lây nhiễm vào hệ thống.
Nhiều tài nguyên hệ thống và khai thác tiền điện tử bị tấn công
Sau khi đã chiếm quyền admin, SteelFox cài đặt driver WinRing0.sys và biến hệ thống bị nhiễm thành một công cụ khai thác tiền điện tử. Được kết nối với một mining pool Monero bằng thông tin mã hóa sẵn, phiên bản XMRig này đã được chỉnh sửa nhằm tận dụng tài nguyên của nạn nhân để phục vụ cho quá trình khai thác tiền điện tử.
SteelFox sử dụng một tên miền C2 (Command and Control) cố định, tuy nhiên tin tặc có thể thay đổi địa chỉ IP và sử dụng các DNS công cộng, bao gồm cả DNS của Google hoặc DNS qua HTTPS (DoH), giúp mã độc tránh bị phát hiện và ngăn chặn.
Không chỉ khai thác tiền điện tử, SteelFox còn có khả năng thu thập thông tin nhạy cảm từ 13 trình duyệt phổ biến, bao gồm lịch sử duyệt web, cookie và chi tiết thẻ tín dụng. Mã độc này cũng thu thập thông tin hệ thống, dữ liệu mạng và các kết nối từ xa (RDP), sau đó gửi về máy chủ điều khiển của tin tặc thông qua một kết nối mã hóa an toàn bằng SSL pinning và TLS v1.3 nhằm tránh bị phát hiện.
Tác động và lời khuyên từ các chuyên gia bảo mật
Từ khi bị phát hiện, Kaspersky đã chặn mã độc SteelFox hơn 11.000 lần, tuy nhiên số lượng thiết bị nhiễm thực tế có thể cao hơn rất nhiều. Nạn nhân của mã độc phân bố khắp nơi trên thế giới và chủ yếu là người dùng cài đặt phần mềm như AutoCAD, JetBrains và Foxit PDF Editor.
SteelFox được đánh giá là một mã độc tinh vi và phức tạp, cho thấy trình độ lập trình cao cấp với việc tích hợp nhiều thư viện bên ngoài. Theo nhận định từ các chuyên gia, mã độc có thể đã được phát triển bởi một lập trình viên C++ có tay nghề cao.
Để tránh bị nhiễm mã độc, các chuyên gia khuyến cáo người dùng nên thận trọng khi tải phần mềm từ các nguồn không chính thống, đặc biệt là các công cụ bẻ khóa. Sử dụng phần mềm bản quyền và cập nhật hệ điều hành thường xuyên là những biện pháp hiệu quả để giảm thiểu rủi ro bị tấn công.
