O malware SteelFox simula a aparência de programas como Foxit PDF Editor e AutoCAD, rouba dados pessoais e bancários de infectados e ainda tem a capacidade de minerar criptomoedas. Segundo os pesquisadores da empresa de cibersegurança Kaspersky, o Brasil é um dos alvos do vírus.
Distribuído por criminosos em fóruns e programas de torrent como um ‘crack’ para liberar softwares pagos, o SteelFox abusa de vulnerabilidades no sistema operacional Windows. De acordo com a Kaspersky, a técnica de avançar sobre privilégios utilizada pelo malware é a mesma encontrada por grupos de ransomware.
O malware já fez vítimas no Brasil, China, Egito, México, Rússia, Argélia, Vietnã, Índia e Sri Lanka
“Em agosto de 2024, nos deparamos com uma infecção massiva causada por um pacote desconhecido que consistia em um malware minerador e stealer”, comentou a Kaspersky. “Descobrimos que a campanha começou em fevereiro de 2023. Embora o malware não tenha evoluído significativamente desde então, ele está sendo alterado gradativamente para evitar a detecção”.
O que facilita a entrada do malware é exatamente a ação que o usuário precisa tomar ao ‘crackear’ um programa pirata. Passos de ativação são oferecidos para a vítima que, ao tomá-los acreditando na liberação do software desejado, abrem a porta para a infecção.
Alcançando direitos de administrador, o SteelFox cria um serviço que roda “WinRing0.sys” (liberando mineração de criptomoeda), um driver vulnerável ao CVE-2020-14979 e CVE-2021-41285, e chega ao nível NT/SYSTEM.
Informações pessoais, bancárias, cookies e histórico são recolhidos de navegadores e programas pelo SteelFox, entre eles: Google Chrome, Opera, Brave, Firefpx, Yandex, Wave, Vivaldi, Chedot, Coccoc e outros.
Até o momento, o malware já fez vítimas no Brasil, China, Egito, México, Rússia, Argélia, Vietnã, Índia e Sri Lanka. A Kaspersky já identificou 11 mil vezes a ameaça.
O que ele rouba
“SteelFox surgiu recentemente e é um pacote de crimeware completo. É capaz de roubar vários dados do usuário. O uso altamente sofisticado de C++ combinado com bibliotecas externas conferem a esse malware um poder formidável. O uso de TLSv1.3 e fixação SSL garante comunicação segura e coleta de dados confidenciais. SteelFox não tem como alvo uma organização ou pessoa específica. Em vez disso, atua em grande escala, extraindo todos os dados que podem ser processados ??posteriormente”, conclui a Kaspersky.