Um novo pacote malicioso chamado 'SteelFox' está minerando criptomoedas e roubando dados de cartões de crédito ao utilizar a técnica "bring your own vulnerable driver" para obter privilégios de SYSTEM em máquinas Windows.
O dropper do bundle de malware é distribuído por fóruns e rastreadores de torrent como uma ferramenta de crack que ativa versões legítimas de vários softwares como Foxit PDF Editor, JetBrains e AutoCAD.
O uso de um driver vulnerável para escalação de privilégios é comum entre atores de ameaças patrocinados pelo estado e grupos de ransomware.
Contudo, agora parece que a técnica também está sendo estendida para ataques de malware de roubo de informações.
Pesquisadores da Kaspersky descobriram a campanha SteelFox em agosto, mas dizem que o malware está ativo desde fevereiro de 2023 e teve sua distribuição aumentada recentemente usando múltiplos canais (e.g., torrents, blogs e posts em fóruns).
De acordo com a companhia, seus produtos detectaram e bloquearam ataques do SteelFox 11.000 vezes.
A Kaspersky relata que posts maliciosos promovendo o dropper do malware SteelFox vêm com instruções completas de como ativar ilegalmente o software.
A seguir, um exemplo de um post que fornece direções de como ativar o JetBrains:
Os pesquisadores dizem que, embora o dropper tenha a funcionalidade anunciada, os usuários também infectam seus sistemas com malware.
Como o software visado para ativação ilegal é tipicamente instalado nos Program Files, adicionar o crack requer acesso de administrador, uma permissão que o malware utiliza mais tarde no ataque.
Pesquisadores da Kaspersky dizem que "a cadeia de execução parece legítima até o momento em que os arquivos são descompactados." Eles explicam que uma função maliciosa é adicionada durante o processo, que insere no máquina o código que carrega o SteelFox.
Tendo garantido direitos de admin, o SteelFox cria um serviço que executa dentro o WinRing0.sys, um driver vulnerável ao
CVE-2020-14979
e
CVE-2021-41285
, que pode ser explorado para obter escalonamento de privilégios para nível NT/SYSTEM.
Tais permissões são as mais altas em um sistema local, mais poderosas que as de um administrador e permitem acesso irrestrito a qualquer recurso e processo.
O driver WinRing0.sys também é utilizado para mineração de criptomoedas, pois faz parte do programa XMRig para mineração de criptomoedas Monero.
Pesquisadores da Kaspersky dizem que o ator da ameaça usa uma versão modificada do executável do minerador que se conecta a uma pool de mineração com credenciais codificadas.
O malware então estabelece conexão com seu servidor de comando e controle (C2) usando SSL pinning e TLS v1.3, o que protege a comunicação de ser interceptada.
Ele também ativa o componente de furto de informações que extrai dados de 13 navegadores web, informações sobre o sistema, rede e conexão RDP.
Os pesquisadores observam que o SteelFox coleta dos navegadores dados como cartões de crédito, histórico de navegação e cookies.
A Kaspersky diz que, embora o domínio C2 que o SteelFox usa seja hardcoded, o ator da ameaça consegue escondê-lo trocando seus endereços IP e resolvendo-os através do Google Public DNS e DNS sobre HTTPS (DoH).
Ataques do SteelFox não têm alvos específicos, mas parecem focar em usuários de AutoCAD, JetBrains e Foxit PDF Editor.
Baseado na visibilidade da Kaspersky, o malware compromete sistemas no Brasil, China, Rússia, México, Emirados Árabes Unidos, Egito, Argélia, Vietnã, Índia e Sri Lanka.
Embora o SteelFox seja relativamente novo, "é um pacote de crimeware completo", dizem os pesquisadores.
A análise do malware indica que seu desenvolvedor é habilidoso na programação em C++ e conseguiu criar um malware formidável integrando bibliotecas externas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...