一种名为“SteelFox”的新恶意软件通过使用“自带易受攻击的驱动程序”技术来获取 Windows 机器上的系统权限，从而挖掘加密货币并窃取信用卡数据。

该恶意软件捆绑包投放器通过论坛和种子追踪器作为破解工具进行分发，可激活 Foxit PDF Editor、JetBrains 和 AutoCAD 等流行软件的合法版本。

使用易受攻击的驱动程序进行权限提升是APT组织和勒索软件团体的常见做法。然而，这种技术现在似乎已经扩展到窃取信息的普通恶意软件攻击。

卡巴斯基研究人员于 8 月发现了 SteelFox 攻击活动，卡巴斯基表示该恶意软件自 2023 年 2 月就已经存在，并且最近通过多种渠道（例如种子、博客和论坛上的帖子）传播。

据该公司称，其产品检测并阻止了 11,000 次 SteelFox 攻击。

SteelFox 的运营时间表

SteelFox 感染和权限提升

卡巴斯基报告称，宣传 SteelFox 恶意软件植入程序的恶意帖子附带了有关如何非法激活该软件的完整说明。

研究人员表示，虽然这些软件破解工具确实具有所宣传的功能，但用户的系统也会受到恶意软件的感染。

由于非法激活的软件通常安装在 Program Files 中，因此添加破解程序需要管理员访问权限，这是恶意软件在稍后的攻击中会使用的权限。

投放器应用程序

卡巴斯基研究人员表示，“在文件解压之前，执行链看起来都是合法的。”他们解释说，在这个过程中添加了一个恶意函数，它会植入加载 SteelFox 的机器代码中。

在获得管理员权限后，SteelFox 创建了一个在内部运行WinRing0.sys的服务 ，该驱动程序存在 CVE-2020-14979 和 CVE-2021-41285 漏洞，攻击者可以利用这些漏洞将权限提升到 NT/SYSTEM 级别。

此类权限是本地系统上的最高权限，比管理员的权限更强大，并且允许不受限制地访问任何资源和进程。

WinRing0.sys 驱动程序也用于加密货币挖掘，因为它是用于挖掘 Monero 加密货币的 XMRig 程序的一部分。卡巴斯基研究人员表示，威胁组织使用修改后的挖矿木马可执行文件版本，该版本使用硬编码凭据连接到矿池。

然后，恶意软件使用 SSL 固定和 TLS v1.3 与其命令和控制 (C2) 服务器建立连接，从而保护通信不被拦截。

SteelFox 恶意软件的通信连接

它还激活信息窃取组件，从 13 个网络浏览器提取数据、有关系统、网络和 RDP 连接的信息。

SteelFox 瞄准的数据

研究人员指出，SteelFox 恶意软件可以从浏览器中收集信用卡、浏览历史记录和 cookie 等数据。

卡巴斯基表示，尽管 SteelFox 使用的 C2 域是硬编码的，但威胁组织设法通过切换其 IP 地址并通过 Google 公共 DNS 和 DNS over HTTPS (DoH) 进行解析来隐藏它。

SteelFox 攻击没有特定目标，但似乎主要针对 AutoCAD、JetBrains 和 Foxit PDF Editor 的用户。根据卡巴斯基的了解，该恶意软件感染了巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡的系统。

受害者分布

研究人员表示，尽管 SteelFox 相当新，但“它是一款功能齐全的犯罪软件包”。对该恶意软件的分析表明，其开发人员精通 C++ 编程，他们通过集成外部库成功创建了强大的恶意软件。

技术报告：https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414/

新闻链接：

https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/