SteelFox Kötü Amaçlı Yazılımı: 11 Bin Kişiyi Hedef Alan Gizli Tehdit

SteelFox olarak bilinen kötü amaçlı yazılım, madencilik ve veri hırsızlığı yeteneklerini bir arada sunarak, tespit edilmesi ve önlenmesi zor olan çok işlevli bir tehdit olarak ortaya çıktı. Özellikle AutoCAD, JetBrains ve Foxit PDF Editor gibi uygulamaları kullanan binlerce kişi, Şubat 2023'ten bu yana devam eden bu saldırıdan etkilendi.

SteelFox’un Dağıtım Yöntemi ve Kapsamı

SteelFox, forum gönderileri ve yasa dışı torrentler aracılığıyla dağıtılıyor. Saldırganlar, SteelFox’u bir aktivasyon aracı olarak tanıtarak, lisans bypass araçlarına ilgi duyan kullanıcıları hedef alıyor. Yazılım, kullanıcılara ücretsiz olarak ticari uygulamaları etkinleştirebilecekleri bir araç gibi tanıtılırken aslında sistemlere karmaşık bir kötü amaçlı yazılım yüklüyor. Kaspersky’nin keşfettiği bu tehdit, belirli bir kullanıcı ya da organizasyonu hedef almadan, verileri geniş çapta topluyor ve analiz edilmek üzere saklıyor. Kaspersky'nin araştırmasına göre, 11 binden fazla kişi bu kötü amaçlı yazılımdan etkilenmiş durumda ve en fazla etkilenen ülkeler arasında Brezilya, Çin, Rusya, Meksika ve Birleşik Arap Emirlikleri yer alıyor.

SteelFox’un Çalışma Zinciri ve Kötü Amaçlı Yükleme Süreci

SteelFox’un JetBrains gibi popüler yazılımlar için geliştirildiği iddia edilen aktivatörü, kullanıcıdan yönetici erişimi isteyerek başlıyor. Bu izinle birlikte aktivatör, Program Files klasörüne yerleşiyor ve 64-bit Windows sistemler için zararlı bir yürütülebilir dosya bırakıyor. Yürütme sürecinde, modifiye edilmiş bir XMRig coin miner kurarak bir madencilik havuzuna bağlanıyor. Kötü amaçlı yazılım, C2 (komut ve kontrol) sunucusuna bağlandığında, veri çalan bir bileşen de devreye giriyor. Bu bileşen, tarayıcılar üzerinden kredi kartı bilgileri, çerezler, gezinti geçmişi ve ziyaret edilen siteler gibi verileri topluyor. Ayrıca, kurbanın cihazındaki yazılım bilgileri, kablosuz ağ bilgileri, sürücü isimleri, kullanıcı bilgileri ve RDP oturum bilgilerini de çalarak dışarıya aktarıyor.

Güvenlikten Kaçma Mekanizmaları

SteelFox, gelişmiş gizlenme teknikleri kullanarak güvenlik araçlarının tehdidi algılamasını zorlaştırıyor. İlk yürütülebilir dosya şifrelenmiş durumda, bu da analiz sürecini zorlaştırıyor. Dahası, yüklenen PE64 dosyası rastgele verilerle doldurularak ve zaman damgaları değiştirerek tespitten kaçınıyor. Kalıcılık sağlamak amacıyla ikinci aşama yüklemesi bir Windows hizmeti olarak yapılandırılıyor ve sistem yeniden başlatıldığında aktif kalıyor. Yükleyici, yalnızca NT\SYSTEM yetkisine sahip kullanıcıların erişebileceği bir Windows hizmeti altında çalışıyor; bu da, kullanıcıların kötü amaçlı yazılımı manuel olarak devre dışı bırakmasını neredeyse imkansız hale getiriyor.

Savunma İçin Büyüyen Bir Zorluk

SteelFox'un, SSL pinning ve TLSv1.3 şifreleme protokolünü kullanması da tehdit aktörlerinin güvenlik araçlarından kaçmasını sağlıyor. Bu şifreleme protokolleri sayesinde, C2 iletişimleri güvenli bir şekilde gerçekleştiriliyor ve analiz edilmesi güçleşiyor. SteelFox, kimlik bilgileri ve kullanıcıya ait çeşitli verileri çalmak için karmaşık bir yapı ile çalışan bir “crimeware” paketi olarak tanımlanıyor.

SteelFox, saldırganların kötü amaçlı yazılım ve taktiklerinde artan sofistike yöntemler geliştirdiğini gösteren en son örneklerden biri. Diğer dikkat çeken örnekler arasında, sanal Linux ortamlarında kötü amaçlı yazılımı gizli şekilde çalıştırabilen CRON#TRAP ve Mayıs ayında Elastic Security tarafından keşfedilen, EDR mekanizmalarını etkili bir şekilde devre dışı bırakma işlevine sahip GhostEngine bulunuyor. Bununla birlikte, yapay zeka araçlarının artan kullanımının da kötü amaçlı yazılımların etkisini artırdığı görülüyor.

Güvenlik alanında giderek karmaşıklaşan bu tür tehditler karşısında bireylerin ve kurumların, gelişmiş güvenlik çözümlerine yatırım yapmaları ve bilinçli hareket etmeleri kritik önem taşıyor. SteelFox gibi tehditlere karşı dikkatli olunması, güvenlik katmanlarını güçlendirmek için alınabilecek en önemli önlemlerden biridir.