Malware de SteelFox
Se ha descubierto un nuevo paquete amenazante conocido como SteelFox. Su objetivo son los sistemas Windows para extraer criptomonedas y recopilar información de tarjetas de crédito. El malware utiliza una técnica llamada "traiga su propio controlador vulnerable" para escalar privilegios al nivel del SISTEMA, lo que le permite eludir las medidas de seguridad.
El malware se propaga principalmente a través de foros y sitios de torrents, donde se hace pasar por una herramienta de crack que activa software legítimo como Foxit PDF Editor, JetBrains y AutoCAD. El uso de controladores vulnerables para la escalada de privilegios es una táctica que se asocia comúnmente con actores de amenazas patrocinados por estados y grupos de ransomware. Sin embargo, ahora parece que también la adoptan campañas de malware que recopilan información.
Los investigadores identificaron por primera vez la operación SteelFox en agosto, aunque señalaron que el malware ha estado activo desde febrero de 2023. Su distribución ha aumentado en los últimos meses a través de varios canales, incluidos torrents, blogs y publicaciones en foros.
Tabla de contenido
Infección de SteelFox y aumento de privilegios
Los informes indican que las publicaciones que promocionan el programa de descarga de malware SteelFox suelen incluir instrucciones detalladas sobre cómo activar el software de forma ilegal. Por ejemplo, una de esas publicaciones ofrece instrucciones paso a paso sobre cómo activar JetBrains. Si bien el programa de descarga realiza la función anunciada de activar el software, los usuarios infectan inadvertidamente sus sistemas con malware en el proceso.
Dado que el software atacado suele instalarse en Archivos de programa, para añadir el crack se necesita acceso de administrador, que el malware aprovecha durante su ataque. Los investigadores señalan que el proceso de instalación parece legítimo hasta el momento en que se descomprimen los archivos. En esa etapa, se introduce una función no segura, que luego descarga el código responsable de cargar SteelFox en el sistema.
Explotación de controladores vulnerables
Una vez que SteelFox obtiene privilegios administrativos, instala un servicio que ejecuta WinRing0.sys, un controlador vulnerable susceptible a CVE-2020-14979 y CVE-2021-41285. Estas vulnerabilidades permiten al malware escalar privilegios al nivel NT/SYSTEM, lo que le otorga el nivel más alto de acceso al sistema, más potente que los derechos de administrador. Este nivel de acceso permite al malware manipular libremente cualquier recurso o proceso del sistema.
Además de la escalada de privilegios, el controlador WinRing0.sys se utiliza en la minería de criptomonedas. Es parte del minero XMRig , que extrae Monero. El atacante implementa una versión modificada de este minero, configurado para conectarse a un grupo de minería con credenciales codificadas.
El malware también establece una conexión segura con su servidor de Comando y Control (C2) mediante la fijación SSL y TLS v1.3, lo que garantiza que las comunicaciones estén cifradas y protegidas contra interceptaciones. Además, activa un componente de robo de información que recopila datos de trece navegadores web, información del sistema, detalles de la red y cualquier conexión RDP (Protocolo de escritorio remoto). SteelFox puede recopilar datos, incluidas tarjetas de crédito, historial de navegación y cookies.
SteelFox infecta a víctimas de numerosos países
Aunque el dominio C2 utilizado por SteelFox está codificado, el atacante lo oculta cambiando frecuentemente sus direcciones IP y resolviéndolas a través de Google Public DNS y DNS over HTTPS (DoH). Los ataques de SteelFox no se dirigen a individuos específicos, sino que parecen afectar principalmente a los usuarios de AutoCAD, JetBrains y Foxit PDF Editor. Se ha observado que el malware compromete sistemas en países como Brasil, China, Rusia, México, Emiratos Árabes Unidos, Egipto, Argelia, Vietnam, India y Sri Lanka.
A pesar de ser relativamente nuevo, SteelFox es un paquete completo de software malicioso. El análisis de malware sugiere que su desarrollador es experto en programación en C++ y ha incorporado bibliotecas externas para crear un programa malicioso muy eficaz.
