SteelFox 恶意软件

发现了一种名为 SteelFox 的新威胁包。它针对 Windows 系统来挖掘加密货币并获取信用卡信息。该恶意软件利用一种称为“自带易受攻击的驱动程序”的技术将权限提升到系统级别，从而绕过安全措施。

该恶意软件主要通过论坛和种子网站传播，伪装成激活 Foxit PDF Editor、JetBrains 和 AutoCAD 等合法软件的破解工具。利用易受攻击的驱动程序进行权限提升是一种常见于国家支持的威胁行为者和勒索软件团体的策略。不过，现在它似乎也被信息收集恶意软件活动所采用。

研究人员于 8 月首次发现了 SteelFox 行动，但他们指出，该恶意软件自 2023 年 2 月以来一直活跃。近几个月来，其通过种子、博客和论坛帖子等各种渠道的传播不断增加。

SteelFox 感染和权限提升

报告显示，宣传 SteelFox 恶意软件植入程序的帖子通常包含有关如何非法激活软件的详细说明。例如，其中一篇帖子提供了有关如何激活 JetBrains 的分步指南。虽然植入程序确实执行了广告中激活软件的功能，但用户在此过程中无意中感染了恶意软件。

由于目标软件通常安装在 Program Files 中，因此添加破解程序需要管理员级访问权限，而恶意软件在攻击过程中正是利用了这一点。研究人员指出，在文件解压之前，安装过程看起来是合法的。在此阶段，会引入一个不安全的函数，然后删除负责将 SteelFox 加载到系统的代码。

利用易受攻击的驱动程序

SteelFox 获得管理权限后，会安装一个运行 WinRing0.sys 的服务，这是一个易受 CVE-2020-14979 和 CVE-2021-41285 攻击的易受攻击的驱动程序。这些漏洞允许恶意软件将权限提升到 NT/SYSTEM 级别，从而授予其对系统的最高访问权限——比管理员权限更强。此访问级别使恶意软件能够自由操纵任何系统资源或进程。

除了特权提升之外，WinRing0.sys 驱动程序还用于加密货币挖掘。它是XMRig挖矿程序的一部分，用于挖掘门罗币。攻击者部署了此挖矿程序的修改版本，配置为使用硬编码凭据连接到挖矿池。

该恶意软件还使用 SSL pinning 和 TLS v1.3 与其命令和控制 (C2) 服务器建立安全连接，确保通信加密并防止被拦截。此外，它还会激活一个信息窃取组件，从 13 个 Web 浏览器、系统信息、网络详细信息和任何 RDP（远程桌面协议）连接收集数据。SteelFox 可以收集数据，包括信用卡、浏览历史记录和 cookie。

SteelFox 感染了来自多个国家的受害者

尽管 SteelFox 使用的 C2 域名是硬编码的，但攻击者通过频繁更改其 IP 地址并通过 Google Public DNS 和 DNS over HTTPS (DoH) 进行解析来隐藏它。SteelFox 攻击并不针对特定个人，但似乎主要影响 AutoCAD、JetBrains 和 Foxit PDF Editor 的用户。据观察，该恶意软件已入侵巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡等国家的系统。

尽管 SteelFox 相对较新，但它是一款功能全面的犯罪软件包。恶意软件分析表明，其开发人员精通 C++ 编程，并已整合外部库来制作一款高效的恶意软件。