Gli esperti di Kaspersky hanno individuato un nuovo malware, denominato SteelFox, che infetta i computer Windows con l’obiettivo di rubare i dati delle carte di credito ed effettuare il mining delle criptovalute. Ignoti cybercriminali sfruttano servizi e driver del sistema operativo per evitare la rilevazione da parte delle soluzioni di sicurezza.
Malware nascosto negli attivatori dei software
Kaspersky ha individuato SteelFox all’inizio di agosto, ma durante l’indagine ha scoperto che circola da febbraio 2023. Il malware offre funzionalità di infostealer e miner. La catena di infezione inizia con la pubblicazione (blog, forum, torrent) di attivatori (crack) per software noti, tra cui AutoCAD, Foxit PDF Editor e JetBrains.
I crack permettono effettivamente di attivare i software, ma installano anche il malware. Nel caso di Foxit PDF Reader (gli altri sono simili) viene chiesto di scegliere la directory del software, ovvero Programmi (x86). Per la scrittura sono necessari i permessi di amministratore, usati successivamente dal malware.
SteelFox crea quindi un servizio che esegue il driver WinRing0.sys. Sfruttando le sue vulnerabilità (CVE-2020-14979 e CVE-2021-41285), il malware ottiene privilegi NT/SYSTEM. Il driver è anche un componente di XMRig, un miner di criptovalute Monero.
Successivamente, SteelFox contatta il server C2 (command and control) che invia il comando per l’attivazione dell’infostealer. Vengono raccolte informazioni sul computer e rubati numerosi dati da 13 browser: carte di credito, cookie, cronologia di navigazione e posizione. Tutte i dati sono quindi inviati al server C2.
La maggioranza delle vittime si trovano in Brasile. Altri paesi interessati sono Cina, Russia, Messico, Emirati Arabi Uniti e Egitto. SteelFox viene rilevato e bloccato da molte soluzioni di sicurezza, tra cui quelle sviluppate da Kaspersky.
Ti potrebbe interessare
11 nov 2024