08/11/24
Новый вредоносный пакет SteelFox распространяется через форумы и торрент-трекеры, предлагая пользователям нелегальную активацию таких программ, как Foxit PDF Editor, JetBrains и AutoCAD. SteelFox не только майнит криптовалюту Monero, но и крадёт данные кредитных карт, используя уязвимые драйверы для повышения привилегий на системах Windows, пишет Securitylab.
SteelFox, выявленный в августе исследователями из «Лаборатории Касперского», появился ещё в феврале 2023 года, однако сейчас его активное распространение заметно усилилось. За последние месяцы продукты компании зафиксировали и заблокировали более 11 000 попыток заражения этим ПО.
SteelFox использует технику BYOVD, которая ранее была характерна для действий киберпреступников, спонсируемых государством, а также групп, занимающихся вымогательством. В данном случае вредоносный софт эксплуатирует уязвимости CVE-2020-14979 (CVSS: 7.8) и CVE-2021-41285 (CVSS 7.8), чтобы получить максимальный уровень привилегий NT/SYSTEM на заражённой системе.
После получения админских прав SteelFox создаёт сервис для запуска драйвера «WinRing0.sys», обеспечивая себе полный контроль над системой. Также этот драйвер используется для криптомайнинга благодаря встроенной поддержке программы XMRig. Для обеспечения связи с командным сервером SteelFox применяет SSL-пиннинг и TLS 1.3, что делает перехват данных затруднительным.
Кроме криптомайнинга, SteelFox выполняет функцию кражи информации, собирая данные из 13 веб-браузеров, а также системную и сетевую информацию. Среди похищаемых данных — кредитные карты, история посещений и куки, что представляет серьёзную угрозу для конфиденциальности пользователей.
Инфраструктура управления SteelFox опирается на скрытые домены, адреса которых периодически меняются через Google Public DNS и DNS over HTTPS (DoH). Хотя этот вредоносный софт не нацелен на конкретные страны, эксперты «Лаборатории Касперского» отмечают его активность в Бразилии, Китае, России, Мексике, ОАЭ, Египте, Алжире, Вьетнаме, Индии и Шри-Ланке.
SteelFox, несмотря на свою недавнюю активность, уже демонстрирует высокую функциональность, что подтверждает уровень мастерства разработчика, интегрировавшего в ПО внешние библиотеки и продвинутые функции.
