Novo malware sequestra PCs Windows
7 de Novembro de 2024

Um novo pacote malicioso chamado 'SteelFox' está minerando criptomoedas e roubando dados de cartões de crédito ao utilizar a técnica "bring your own vulnerable driver" para obter privilégios de SYSTEM em máquinas Windows.

O dropper do bundle de malware é distribuído por fóruns e rastreadores de torrent como uma ferramenta de crack que ativa versões legítimas de vários softwares como Foxit PDF Editor, JetBrains e AutoCAD.

O uso de um driver vulnerável para escalação de privilégios é comum entre atores de ameaças patrocinados pelo estado e grupos de ransomware.

Contudo, agora parece que a técnica também está sendo estendida para ataques de malware de roubo de informações.

Pesquisadores da Kaspersky descobriram a campanha SteelFox em agosto, mas dizem que o malware está ativo desde fevereiro de 2023 e teve sua distribuição aumentada recentemente usando múltiplos canais (e.g., torrents, blogs e posts em fóruns).

De acordo com a companhia, seus produtos detectaram e bloquearam ataques do SteelFox 11.000 vezes.

A Kaspersky relata que posts maliciosos promovendo o dropper do malware SteelFox vêm com instruções completas de como ativar ilegalmente o software.

A seguir, um exemplo de um post que fornece direções de como ativar o JetBrains:

Os pesquisadores dizem que, embora o dropper tenha a funcionalidade anunciada, os usuários também infectam seus sistemas com malware.

Como o software visado para ativação ilegal é tipicamente instalado nos Program Files, adicionar o crack requer acesso de administrador, uma permissão que o malware utiliza mais tarde no ataque.

Pesquisadores da Kaspersky dizem que "a cadeia de execução parece legítima até o momento em que os arquivos são descompactados." Eles explicam que uma função maliciosa é adicionada durante o processo, que insere no máquina o código que carrega o SteelFox.

Tendo garantido direitos de admin, o SteelFox cria um serviço que executa dentro o WinRing0.sys, um driver vulnerável ao CVE-2020-14979 e CVE-2021-41285 , que pode ser explorado para obter escalonamento de privilégios para nível NT/SYSTEM.

Tais permissões são as mais altas em um sistema local, mais poderosas que as de um administrador e permitem acesso irrestrito a qualquer recurso e processo.

O driver WinRing0.sys também é utilizado para mineração de criptomoedas, pois faz parte do programa XMRig para mineração de criptomoedas Monero.

Pesquisadores da Kaspersky dizem que o ator da ameaça usa uma versão modificada do executável do minerador que se conecta a uma pool de mineração com credenciais codificadas.

O malware então estabelece conexão com seu servidor de comando e controle (C2) usando SSL pinning e TLS v1.3, o que protege a comunicação de ser interceptada.

Ele também ativa o componente de furto de informações que extrai dados de 13 navegadores web, informações sobre o sistema, rede e conexão RDP.

Os pesquisadores observam que o SteelFox coleta dos navegadores dados como cartões de crédito, histórico de navegação e cookies.

A Kaspersky diz que, embora o domínio C2 que o SteelFox usa seja hardcoded, o ator da ameaça consegue escondê-lo trocando seus endereços IP e resolvendo-os através do Google Public DNS e DNS sobre HTTPS (DoH).

Ataques do SteelFox não têm alvos específicos, mas parecem focar em usuários de AutoCAD, JetBrains e Foxit PDF Editor.

Baseado na visibilidade da Kaspersky, o malware compromete sistemas no Brasil, China, Rússia, México, Emirados Árabes Unidos, Egito, Argélia, Vietnã, Índia e Sri Lanka.

Embora o SteelFox seja relativamente novo, "é um pacote de crimeware completo", dizem os pesquisadores.

A análise do malware indica que seu desenvolvedor é habilidoso na programação em C++ e conseguiu criar um malware formidável integrando bibliotecas externas.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...