Специалисты по кибербезопасности выявили новую серьезную угрозу — вредоносное ПО SteelFox, которое демонстрирует растущую тенденцию к многофункциональным атакам. За период с августа по октябрь 2024 года зафиксировано более 11 000 случаев заражения, причем наибольшее количество жертв обнаружено в Бразилии (20%), Китае (8%) и России (8%).
Методы распространения и маскировки
Злоумышленники распространяют SteelFox через торрент-трекеры, форумы и даже GitHub, маскируя вредоносное ПО под активаторы популярных программ, включая AutoCAD, Foxit PDF Editor и продукты JetBrains. Для повышения привилегий в системе троян использует уязвимый драйвер WinRing0.sys, эксплуатируя известные уязвимости CVE-2020-14979 и CVE-2021-41285.
Технические особенности и механизмы работы
SteelFox использует продвинутые технические решения для обеспечения устойчивой работы. Коммуникация с командным центром осуществляется через защищенный канал с использованием SSL-пиннинга и протокола TLS 1.3. Для майнинга криптовалюты применяется модифицированная версия открытого майнера XMRig, предположительно для добычи Monero.
Функционал кражи данных
Встроенный в SteelFox стилер способен похищать широкий спектр конфиденциальной информации, включая:
— Данные браузеров (история посещений, учетные записи, банковская информация)
— Пароли от Wi-Fi сетей
— Системную информацию
— Сведения об установленном ПО и антивирусной защите
Монетизация и последствия
Атакующие получают двойную выгоду: непрерывный доход от майнинга криптовалюты и потенциальную прибыль от продажи похищенных данных на черном рынке. Такой подход отражает современную тенденцию к максимизации прибыли от вредоносных кампаний.
Для защиты от подобных угроз критически важно использовать только легальное ПО из официальных источников, регулярно обновлять системное программное обеспечение и применять современные решения для обеспечения кибербезопасности. Особое внимание следует уделять проверке источников загружаемого ПО и избегать использования сомнительных активаторов или «кряков».
