Malware SteelFox
È stato scoperto un nuovo pacchetto minaccioso noto come SteelFox. Prende di mira i sistemi Windows per estrarre criptovaluta e raccogliere informazioni sulle carte di credito. Il malware utilizza una tecnica chiamata "bring your own vulnerability driver" per aumentare i privilegi al livello di SISTEMA, consentendogli di aggirare le misure di sicurezza.
Il malware si diffonde principalmente tramite forum e siti torrent, dove si maschera da strumento crack che attiva software legittimi come Foxit PDF Editor, JetBrains e AutoCAD. L'uso di driver vulnerabili per l'escalation dei privilegi è una tattica comunemente associata ad attori di minacce sponsorizzati dallo stato e gruppi ransomware. Tuttavia, ora sembra essere adottato anche da campagne di malware di raccolta di informazioni.
I ricercatori hanno identificato per la prima volta l'operazione SteelFox ad agosto, sebbene abbiano notato che il malware è attivo da febbraio 2023. La sua distribuzione è aumentata negli ultimi mesi attraverso vari canali, tra cui torrent, blog e post di forum.
Sommario
Infezione SteelFox e escalation dei privilegi
I report indicano che i post che promuovono il malware dropper SteelFox spesso includono istruzioni dettagliate su come attivare illegalmente il software. Ad esempio, uno di questi post offre una guida passo-passo su come attivare JetBrains. Mentre il dropper esegue la funzione pubblicizzata di attivazione del software, gli utenti infettano inavvertitamente i loro sistemi con malware nel processo.
Poiché il software preso di mira è in genere installato nei Program Files, l'aggiunta del crack richiede l'accesso a livello di amministratore, che il malware sfrutta durante il suo attacco. I ricercatori notano che il processo di installazione sembra legittimo fino al punto in cui i file vengono decompressi. A quel punto, viene introdotta una funzione non sicura, che quindi rilascia il codice responsabile del caricamento di SteelFox sul sistema.
Sfruttamento dei driver vulnerabili
Una volta che SteelFox ottiene privilegi amministrativi, installa un servizio che esegue WinRing0.sys, un driver vulnerabile suscettibile a CVE-2020-14979 e CVE-2021-41285. Queste vulnerabilità consentono al malware di aumentare i privilegi al livello NT/SYSTEM, garantendogli il livello più alto di accesso al sistema, più potente dei diritti di amministratore. Questo livello di accesso consente al malware di manipolare liberamente qualsiasi risorsa o processo di sistema.
Oltre all'escalation dei privilegi, il driver WinRing0.sys viene utilizzato nel mining di criptovalute. Fa parte del miner XMRig , che estrae Monero. L'attaccante distribuisce una versione modificata di questo miner, configurata per connettersi a un pool di mining con credenziali hardcoded.
Il malware stabilisce anche una connessione sicura con il suo server Command-and-Control (C2) tramite pinning SSL e TLS v1.3, assicurando che le comunicazioni siano crittografate e protette dall'intercettazione. Inoltre, attiva un componente info-stealer che raccoglie dati da tredici browser Web, informazioni di sistema, dettagli di rete e qualsiasi connessione RDP (Remote Desktop Protocol). SteelFox può raccogliere dati, tra cui carte di credito, cronologia di navigazione e cookie.
SteelFox infetta vittime da numerosi paesi
Sebbene il dominio C2 utilizzato da SteelFox sia hardcoded, l'attaccante lo nasconde cambiando frequentemente i suoi indirizzi IP e risolvendoli tramite Google Public DNS e DNS over HTTPS (DoH). Gli attacchi SteelFox non prendono di mira individui specifici, ma sembrano colpire principalmente gli utenti di AutoCAD, JetBrains e Foxit PDF Editor. Il malware è stato osservato mentre comprometteva i sistemi in paesi come Brasile, Cina, Russia, Messico, Emirati Arabi Uniti, Egitto, Algeria, Vietnam, India e Sri Lanka.
Nonostante sia relativamente nuovo, SteelFox è un pacchetto crimeware completo. L'analisi del malware suggerisce che il suo sviluppatore è esperto di programmazione C++ e ha incorporato librerie esterne per creare un malware altamente efficace.
