SteelFox Malware
Um novo pacote ameaçador conhecido como SteelFox foi descoberto. Ele tem como alvo sistemas Windows para minerar criptomoedas e coletar informações de cartão de crédito. O malware utiliza uma técnica chamada 'traga seu próprio driver vulnerável' para escalar privilégios para o nível SYSTEM, permitindo que ele ignore medidas de segurança.
O malware é espalhado principalmente por fóruns e sites de torrent, onde se disfarça como uma ferramenta de crack que ativa softwares legítimos como Foxit PDF Editor, JetBrains e AutoCAD. O uso de drivers vulneráveis para escalonamento de privilégios é uma tática comumente associada a agentes de ameaças patrocinados pelo estado e grupos de ransomware. Ainda assim, agora parece ser adotado por campanhas de malware de coleta de informações também.
Os pesquisadores identificaram a operação SteelFox pela primeira vez em agosto, embora tenham notado que o malware estava ativo desde fevereiro de 2023. Sua distribuição tem aumentado nos últimos meses por meio de vários canais, incluindo torrents, blogs e postagens em fóruns.
Índice
A Infecção pelo SteelFox e a Escalação de Privilégios
Os relatórios indicam que postagens promovendo o dropper de malware SteelFox frequentemente incluem instruções detalhadas sobre como ativar software ilegalmente. Por exemplo, uma dessas postagens oferece orientação passo a passo sobre como ativar o JetBrains. Embora o dropper execute a função anunciada de ativar o software, os usuários inadvertidamente infectam seus sistemas com malware no processo.
Como o software alvo é normalmente instalado nos Arquivos de Programas, adicionar o crack requer acesso de nível de administrador, que o malware aproveita durante seu ataque. Os pesquisadores observam que o processo de instalação parece legítimo até o ponto em que os arquivos são descompactados. Nesse estágio, uma função insegura é introduzida, que então descarta o código responsável por carregar o SteelFox no sistema.
Explorando Drivers Vulneráveis
Depois que o SteelFox obtém privilégios administrativos, ele instala um serviço que executa o WinRing0.sys, um driver vulnerável suscetível a CVE-2020-14979 e CVE-2021-41285. Essas vulnerabilidades permitem que o malware aumente os privilégios para o nível NT/SYSTEM, concedendo a ele o mais alto nível de acesso ao sistema — mais potente do que direitos de administrador. Esse nível de acesso permite que o malware manipule qualquer recurso ou processo do sistema livremente.
Além da escalada de privilégios, o driver WinRing0.sys é usado na mineração de criptomoedas. Ele faz parte do minerador XMRig , que minera Monero. O invasor implanta uma versão modificada deste minerador, configurada para se conectar a um pool de mineração com credenciais codificadas.
O malware também estabelece uma conexão segura com seu servidor Command-and-Control (C2) usando SSL pinning e TLS v1.3, garantindo que as comunicações sejam criptografadas e protegidas contra interceptação. Além disso, ele ativa um componente info-stealer que coleta dados de treze navegadores da Web, informações do sistema, detalhes da rede e quaisquer conexões RDP (Remote Desktop Protocol). O SteelFox pode coletar dados, incluindo cartões de crédito, histórico de navegação e cookies.
O SteelFox Infecta Vítimas em Vários Países
Embora o domínio C2 usado pelo SteelFox seja codificado, o invasor o oculta alterando frequentemente seus endereços IP e resolvendo-os por meio do Google Public DNS e DNS over HTTPS (DoH). Os ataques do SteelFox não têm como alvo indivíduos específicos, mas parecem afetar principalmente usuários do AutoCAD, JetBrains e Foxit PDF Editor. O malware foi observado comprometendo sistemas em países como Brasil, China, Rússia, México, Emirados Árabes Unidos, Egito, Argélia, Vietnã, Índia e Sri Lanka.
Apesar de ser relativamente novo, o SteelFox é um pacote abrangente de crimeware. A análise de malware sugere que seu desenvolvedor é proficiente em programação C++ e incorporou bibliotecas externas para criar um malware altamente eficaz.
