SteelFox: malware colpisce PC Windows con driver vulnerabili

Un nuovo pacchetto dannoso chiamato 'SteelFox' estrae criptovalute e ruba dati di carte di credito utilizzando la tecnica "bring your own vulnerability driver" per ottenere privilegi di sistema su Windows. Il bundle dropper del malware viene distribuito tramite forum e tracker torrent come uno strumento di cracking che attiva versioni legittime di vari software come Foxit PDF Editor, JetBrains e AutoCAD. L'utilizzo di un driver vulnerabile per l'escalation dei privilegi è comune per hacker sponsorizzati dallo stato e i gruppi ransomware. Tuttavia, la tecnica sembra estendersi agli attacchi infostealer. I ricercatori di Kaspersky hanno scoperto la campagna SteelFox ad agosto. Tuttavia, il malware sembra essere in circolazione da febbraio 2023 e ha aumentato la distribuzione ultimamente utilizzando più canali. Secondo l'azienda, i suoi prodotti hanno rilevato e bloccato gli attacchi SteelFox 11.000 volte.

Kaspersky segnala che i post dannosi che promuovono il malware dropper SteelFox sono accompagnati da istruzioni complete su come attivare illegalmente il software. I ricercatori affermano che gli utenti infettano anche i loro sistemi con malware. Poiché il software preso di mira per l'attivazione illegale è in genere installato nei Program Files, l'aggiunta del crack richiede l'accesso da amministratore, un'autorizzazione che il malware utilizza in seguito nell'attacco. I ricercatori affermano che "la catena di esecuzione sembra legittima fino al momento in cui i file vengono decompressi". Essi spiegano che durante il processo viene aggiunta una funzione dannosa, che si riversa sul codice macchina che carica SteelFox.

Dopo aver ottenuto i diritti di amministratore, il malware crea un servizio che esegue WinRing0.sys al suo interno. Si tratta di un driver vulnerabile a CVE-2020-14979 e CVE-2021-41285, che può essere sfruttato per ottenere l'escalation dei privilegi a livello NT/SYSTEM. Tali permessi sono i più elevati su un sistema locale e consentono l'accesso illimitato a qualsiasi risorsa e processo.

SteelFox: malware raccoglie dati di carte di credito cronologia e cookie

Il driver WinRing0.sys viene utilizzato anche per il mining di criptovalute, in quanto fa parte del programma XMRig per il mining di criptovalute Monero. I ricercatori di Kaspersky affermano che l'autore della minaccia utilizza una versione modificata dell'eseguibile del miner che si connette a un pool di mining con credenziali hardcoded. Il malware stabilisce quindi una connessione con il suo server di comando e controllo (C2) utilizzando il pinning SSL e TLS v1.3, che protegge la comunicazione dall'intercettazione. Attiva anche il componente info-stealer che estrae dati da 13 browser, informazioni sul sistema, sulla rete e sulla connessione RDP. I ricercatori notano che SteelFox raccoglie dai browser dati come carte di credito, cronologia di navigazione e cookie.

Kaspersky afferma che, sebbene il dominio C2 utilizzato da SteelFox sia hardcoded, l'autore della minaccia riesce a nasconderlo cambiando i suoi indirizzi IP. Gli attacchi SteelFox non hanno obiettivi specifici, ma sembrano concentrarsi sugli utenti di AutoCAD, JetBrains e Foxit PDF Editor. In base alla visibilità di Kaspersky, il malware compromette i sistemi in Brasile, Cina, Russia, Messico, Emirati Arabi Uniti, Egitto, Algeria, Vietnam, India e Sri Lanka. Sebbene questo malware sia abbastanza nuovo, secondo i ricercatori "è un bundle crimeware completo". L'analisi del malware indica che il suo sviluppatore è esperto di programmazione C++ e sono riusciti a creare un malware formidabile integrando librerie esterne.