Kompanija Kasperski upozorava na novi tip zlonamernog softvera pod nazivom SteelFox, koji je od februara 2023. godine uspeo da zarazi na desetine hiljada računara širom sveta. Ovaj malver je posebno opasan jer kombinuje krađu podataka i rudarenje kriptovaluta, koristeći tehniku „bring your own vulnerable driver” (BYOVD) za dobijanje najviših privilegija na sistemu.
Kako se širi SteelFox?
SteelFox se najčešće distribuira preko foruma, torenta i blogova, maskiran kao „aktivator“ legitimnog softvera kao što su Foxit PDF Editor, JetBrains i AutoCAD. Korisnici koji preuzimaju ovaj aktivator, verujući da će besplatno dobiti punu verziju softvera, umesto toga zaraze svoj računar zlonamernim softverom.
Rudarenje kriptovalute
Nakon što dobije pristup sistemu, SteelFox koristi ranjivi drajver WinRing0.sys, iskorišćavajući poznate bezbednosne propuste. Ovaj drajver omogućava malveru pristup resursima sistema bez ograničenja, uključujući pokretanje XMRig programa za rudarenje kriptovalute Monero.
Kradljivac podataka
SteelFox ne samo da rudari kriptovalute već krade osetljive informacije kao što su podaci o kreditnim karticama, istorija pregledanja i kolačići iz 13 različitih pregledača. Kaspersky navodi da malver prikuplja i podatke o mreži, instaliranim programima i aktivnim RDP sesijama.
Globalna pretnja sa specifičnim metama
Iako SteelFox ne cilja posebne grupe korisnika, najviše zaraženih računara je u Brazilu, Kini, Rusiji, Meksiku, Ujedinjenim Arapskim Emiratima i Indiji. Kaspersky je do sada blokirao preko 11.000 napada ovog malvera, ali pretnja ostaje velika.
