Logiciel malveillant SteelFox
Un nouveau package malveillant connu sous le nom de SteelFox a été découvert. Il cible les systèmes Windows pour exploiter la cryptomonnaie et récolter les informations de carte de crédit. Le malware utilise une technique appelée « apportez votre propre pilote vulnérable » pour élever les privilèges au niveau SYSTEM, ce qui lui permet de contourner les mesures de sécurité.
Le malware se propage principalement via des forums et des sites de torrents, où il se fait passer pour un outil de crack qui active des logiciels légitimes comme Foxit PDF Editor, JetBrains et AutoCAD. L'utilisation de pilotes vulnérables pour l'élévation des privilèges est une tactique couramment associée aux acteurs malveillants parrainés par l'État et aux groupes de ransomware. Pourtant, il semble désormais être également adopté par les campagnes de malwares de collecte d'informations.
Les chercheurs ont identifié pour la première fois l'opération SteelFox en août, bien qu'ils aient noté que le malware était actif depuis février 2023. Sa distribution s'est intensifiée ces derniers mois via divers canaux, notamment les torrents, les blogs et les messages sur les forums.
Table des matières
Infection de SteelFox et escalade des privilèges
Les rapports indiquent que les publications faisant la promotion du programme malveillant SteelFox incluent souvent des instructions détaillées sur la manière d'activer illégalement des logiciels. Par exemple, l'une de ces publications propose des instructions étape par étape sur la manière d'activer JetBrains. Bien que le programme effectue la fonction annoncée d'activation du logiciel, les utilisateurs infectent par inadvertance leurs systèmes avec des logiciels malveillants au cours du processus.
Étant donné que le logiciel ciblé est généralement installé dans les fichiers du programme, l'ajout du crack nécessite un accès de niveau administrateur, que le malware exploite lors de son attaque. Les chercheurs notent que le processus d'installation semble légitime jusqu'au moment où les fichiers sont décompressés. À ce stade, une fonction non sécurisée est introduite, qui dépose ensuite le code responsable du chargement de SteelFox sur le système.
Exploiter les pilotes vulnérables
Une fois que SteelFox obtient les privilèges d'administrateur, il installe un service qui exécute WinRing0.sys, un pilote vulnérable aux vulnérabilités CVE-2020-14979 et CVE-2021-41285. Ces vulnérabilités permettent au malware d'élever ses privilèges au niveau NT/SYSTEM, lui accordant le niveau d'accès le plus élevé au système, plus puissant que les droits d'administrateur. Ce niveau d'accès permet au malware de manipuler librement n'importe quelle ressource ou processus système.
En plus de l'élévation des privilèges, le pilote WinRing0.sys est utilisé dans le minage de cryptomonnaie. Il fait partie du mineur XMRig , qui exploite Monero. L'attaquant déploie une version modifiée de ce mineur, configurée pour se connecter à un pool de minage avec des informations d'identification codées en dur.
Le malware établit également une connexion sécurisée avec son serveur de commande et de contrôle (C2) à l'aide de l'épinglage SSL et du protocole TLS v1.3, garantissant que les communications sont cryptées et protégées contre toute interception. De plus, il active un composant de vol d'informations qui collecte les données de treize navigateurs Web, les informations système, les détails du réseau et toutes les connexions RDP (Remote Desktop Protocol). SteelFox peut collecter des données, notamment des cartes de crédit, l'historique de navigation et les cookies.
SteelFox infecte des victimes dans de nombreux pays
Bien que le domaine C2 utilisé par SteelFox soit codé en dur, l'attaquant le dissimule en changeant fréquemment ses adresses IP et en les résolvant via Google Public DNS et DNS over HTTPS (DoH). Les attaques de SteelFox ne ciblent pas d'individus spécifiques mais semblent principalement affecter les utilisateurs d'AutoCAD, JetBrains et Foxit PDF Editor. Le malware a été observé en train de compromettre des systèmes dans des pays comme le Brésil, la Chine, la Russie, le Mexique, les Émirats arabes unis, l'Égypte, l'Algérie, le Vietnam, l'Inde et le Sri Lanka.
Bien que relativement nouveau, SteelFox est un logiciel malveillant très complet. L'analyse des logiciels malveillants suggère que son développeur maîtrise la programmation C++ et a intégré des bibliothèques externes pour créer un logiciel malveillant très efficace.
