Los piratas informáticos se dirigen principalmente a los sistemas Windows. Esto se debe a que los sistemas Windows tienen una gran cuota de mercado. Más del 80% de los sistemas operativos de escritorio ejecutan Windows.
No sólo eso, sino que casi el 50% de los piratas informáticos han comprometido los sistemas Windows más que cualquier otro sistema operativo.
Los investigadores de Kaspersky detectaron recientemente un nuevo malware llamado “SteelFox”. Este malware ha infectado más de 11.000 sistemas Windows como activador de software.
SteelFox es un sofisticado malware descubierto en agosto de 2024. Se distribuye a través de numerosos foros, rastreadores de torrents y blogs como crack o activador de aplicaciones de software conocidas como Foxit PDF Editor y AutoCAD.
Cronología de la infección (Fuente – Securelist)
El malware emplea una cadena de ejecución sofisticada que incluye técnicas de codificación de shell para infectar los sistemas de destino. Después de la instalación, SteelFox utiliza los servicios y controladores de Windows para persistir y elevar los privilegios.
Desafíos que MDR puede ayudarle a resolver -> Obtenga la guía gratuita
El vector de infección de la primera etapa utiliza un ejecutable de cuentagotas que afirma ser un software legítimo, pero en realidad descarga una carga útil maliciosa y la ejecuta en el sistema.
Utilice pasos especiales para ejecutarlo como un servicio de Windows y permitirle operar con privilegios de SISTEMA.
El robo de datos de credenciales y tarjetas de crédito es la funcionalidad principal de SteelFox, que también incluye el robo de información de tarjetas de crédito de dispositivos a través de módulos de robo, según el informe de Kaspersky.
El malware utiliza fijación SSL y protocolos TLSv1.3 para comunicarse con el servidor C2 y está diseñado con Boost. La biblioteca Asio emplea direcciones IP que cambian rápidamente y dominios cambiantes para evitar la detección.
Además, esta infección incluye la capacidad de obtener mayores privilegios en el sistema infectado comprometiendo el controlador.
Esta amenaza es reconocida por el conjunto de productos de seguridad de Kaspersky Lab como HEUR:Trojan.Win64.SteelFox.gen y Trojan.Win64.SteelFox.*.
El malware SteelFox funciona en varias etapas. Primero, cree un mutex con un nombre aleatorio para permitir la comunicación de red multiproceso.
Diagrama de conexión (Fuente – Securelist)
Luego instala un servicio que contiene el controlador vulnerable WinRing0.sys. Esto permite que el malware se comunique con el sistema infectado y aumente sus privilegios en ese sistema. Se sabe que este controlador antiguo tiene vulnerabilidades de seguridad que SteelFox aprovecha.
Luego, SteelFox usa el DNS de Google sobre HTTPS para resolver el dominio C2 codificado para ocultar la resolución del dominio y se conecta al servidor C2 usando una conexión TLS 1.3 asegurada con fijación SSL.
Después de establecer el enlace, el módulo ladrón del malware roba una gran cantidad de datos confidenciales del usuario, incluidas las cookies del navegador del usuario, tarjetas de crédito, historial de sitios web visitados, aplicaciones instaladas, especificaciones del sistema operativo, parámetros de red, etc.
Esta información se envía al servidor de comando y control del atacante a través de una carga altamente maliciosa que consiste en un archivo JSON.
Anuncio cuentagotas malicioso (Fuente: Securelist)
SteelFox actúa indiscriminadamente e infecta los navegadores de los usuarios que intentan utilizar AutoCAD, JetBrains, Foxit y otros programas falsos.
No se han sacado conclusiones detalladas, y no sólo eso, sino que tampoco se ha hecho una atribución clara para esta campaña en particular.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
