SteelFox: el nuevo malware que se propaga a través de foros, trackers de torrent y blogs
SteelFox es un nuevo tipo de malware que se propaga principalmente a través de plataformas como foros, trackers de torrent y blogs. Este malware se hace pasar por herramientas de crack de software popular, como Foxit PDF Editor, AutoCAD y JetBrains, con el objetivo de robar información confidencial de los usuarios, como datos de tarjetas de crédito, historial de navegación y otros datos sensibles. Incluso puede utilizar los dispositivos de los usuarios para minar criptomonedas.
Según investigadores de Kaspersky, SteelFox no ataca a personas o organizaciones específicas, sino que realiza ataques masivos en todo el mundo. Hasta el momento, los productos de seguridad informática han detectado y bloqueado más de 11,000 ataques. Las víctimas principales se encuentran en países como Brasil, China, Rusia y México. Este malware se propaga inicialmente a través de enlaces de descarga maliciosos en foros o trackers de torrent, que se camuflan como herramientas de crack. Al hacer clic en estos enlaces, los usuarios son dirigidos a descargar e instalar el malware en sus dispositivos.
Una vez que el usuario instala la herramienta de crack, SteelFox solicita permisos de administrador y se instala en el sistema, lo que le permite realizar ataques posteriores. Utiliza un sofisticado sistema de cifrado AES-128 para evitar la detección y la posterior eliminación por parte de los programas antivirus. Luego, simplifica el proceso de cifrado utilizando el conjunto de instrucciones AES-NI. También crea un nuevo servicio en el sistema que se reinicia, lo que permite que el malware se mantenga en funcionamiento incluso después de un reinicio. Cuando SteelFox logra tomar el control del dispositivo, instala más software malicioso en los archivos del sistema y se registra como un servicio de Windows, lo que dificulta su detección y eliminación.
Una vez que adquiere los permisos de administrador, se crea el servicio WinRing0.sys, que tiene vulnerabilidades como CVE-2020-14979 y CVE-2021-41285. Al explotar estas vulnerabilidades, los atacantes pueden elevar sus permisos a NT/SYSTEM, que son aún más poderosos que los de un administrador. Esto les permite acceder a todos los recursos del sistema sin restricciones. Este servicio también es utilizado para la minería de criptomonedas a través de XMRig, lo que les permite a los atacantes utilizar los recursos de la víctima para minar criptomonedas.
Además, SteelFox cuenta con un complejo sistema de verificación para garantizar que solo se ejecute en entornos legítimos, evitando así su detección por parte de los programas antivirus.
Un rasgo distintivo de SteelFox es su modelo de comunicación seguro. Una vez que se instala en el sistema, el malware establece una comunicación cifrada con su servidor C2 utilizando un sistema de asignación dinámica de IP y SSL pinning y TLS v1.3 para evitar que los datos sean interceptados en el proceso. Una vez establecida la conexión, el atacante comienza a recopilar información confidencial del usuario, como cookies, datos de tarjetas de crédito y registros de navegación, y los envía al servidor C2 en formato JSON.
Para protegerse contra este tipo de actividades maliciosas, se recomienda a los usuarios que descarguen software solo de sitios web oficiales y ev