Троянец SteelFox крадёт данные российских пользователей и использует их устройства для майнинга криптовалюты
07/11/24
Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили новый троянец и назвали его SteelFox. В нём реализована функциональность майнера и стилера: зловред использует мощности заражённых компьютеров, чтобы майнить криптовалюту, а также крадёт конфиденциальные данные пользователей и отправляет их атакующим. За август — октябрь 2024 года решения «Лаборатории Касперского» зафиксировали более 11 тысяч атак зловреда в разных странах мира*. От всех атакованных троянцем SteelFox пользователей 20% находились в Бразилии, 8% — в Китае и ещё 8% — в России. На сегодняшний день эта киберугроза остаётся актуальной.
SteelFox распространяется под видом неофициального ПО, которое используется для бесплатной активации популярных программ. Речь идёт, в частности, о фальшивых активаторах для AutoCAD (систем автоматизированного проектирования и черчения), Foxit PDF Editor (приложения для редактирования PDF-документов) и продуктов JetBrains (инструментов для разработки на популярных языках программирования). Пользователи могут столкнуться со SteelFox на форумах, торрент-трекерах, GitHub.
Майнинг криптовалюты. Злоумышленники используют модифицированную версию XMRig — майнера с открытым исходным кодом. В обнаруженной кампании он представляет собой один из компонентов троянца SteelFox. Атакующие используют мощности заражённых устройств, чтобы майнить криптовалюту, — вероятнее всего, Monero.
Кража конфиденциальных данных. Другой компонент SteelFox — это программа-стилер, которая может собирать большой объём информации на компьютере жертвы и отправлять её атакующим. Речь идёт, в частности, о данных из браузеров: истории посещённых сайтов, данных учётных записей и банковских карт, а также сведениях об установленном ПО, антивирусных решениях. К тому же троянец способен передавать пароли от Wi-Fi-сетей, информацию о системе и часовом поясе. Это далеко не полный перечень сведений, которые крадёт зловред. В дальнейшем полученную информацию злоумышленники могут, например, продавать на теневых площадках.
«Злоумышленники пытаются получить максимальную выгоду от своих действий. Например, известны зловреды, которые сочетали в себе функциональность майнера и шифровальщика: атакующие зарабатывали на работе майнера, пока ждали выкупа за расшифровку данных. SteelFox — наглядный пример того, как злоумышленники могут попытаться монетизировать как вычислительные мощности устройства, так и его содержимое», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.
Решения «Лаборатории Касперского» детектируют SteelFox как HEUR:Trojan.Win64.SteelFox.gen.
Чтобы минимизировать риски, «Лаборатория Касперского» рекомендует:
- скачивать приложения только из официальных источников;
- регулярно обновлять операционную систему и установленные приложения;
- установить надёжное защитное решение от разработчика, эффективность продуктов которого подтверждается независимыми тестовыми лабораториями, например Kaspersky Premium.
С 6 по 8 ноября в Москве проходит SOC-форум. В рамках мероприятия эксперты «Лаборатории Касперского» представят интересные технические доклады и поделятся своей экспертизой. Подробнее с программой форума можно ознакомиться на сайте: https://forumsoc.ru/.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» в августе — октябре 2024 года.