Un nuevo paquete malicioso denominado SteelFox ha surgido en la escena del cibercrimen, utilizando técnicas avanzadas para secuestrar equipos Windows, extraer criptomonedas y robar datos de tarjetas de crédito. Este malware aprovecha un controlador vulnerable para obtener privilegios de SISTEMA en las máquinas infectadas, volviéndose una seria amenaza para los usuarios.
SteelFox y la técnica de “Bring Your Own Vulnerable Driver”
SteelFox utiliza la técnica conocida como “bring your own vulnerable driver” (BYOVD), que permite a los atacantes escalar privilegios hasta alcanzar permisos de SISTEMA. Esto significa que los cibercriminales pueden acceder y controlar recursos y procesos que normalmente estarían restringidos. A pesar de que esta técnica suele ser empleada por actores patrocinados por Estados y grupos de ransomware, SteelFox la aplica en un contexto de malware destinado al robo de información, aumentando su potencial destructivo.
Distribución del malware a través de foros y torrents
El paquete SteelFox se distribuye mediante foros y rastreadores de torrents bajo la apariencia de herramientas de crack que prometen activar versiones legítimas de software popular, como Foxit PDF Editor, JetBrains y AutoCAD. Según los investigadores de Kaspersky, quienes detectaron la campaña en agosto de 2024, el malware ya estaba activo desde febrero de 2023. En los últimos meses, SteelFox ha intensificado su distribución, aprovechando múltiples canales como torrents y publicaciones en blogs.
¿Cómo infecta SteelFox a los usuarios?
El malware se presenta como un “dropper” (aplicación de carga maliciosa) que incluye instrucciones para activar ilegalmente el software. Sin embargo, en el proceso de instalación, también infecta el sistema con código malicioso. Al obtener permisos de administrador para instalar los cracks en la carpeta de Program Files, SteelFox utiliza estos permisos para ejecutar su código y establecer un servicio que lanza el controlador WinRing0.sys. Este controlador es vulnerable a las vulnerabilidades CVE-2020-14979 y CVE-2021-41285, permitiendo la elevación de privilegios a nivel SISTEMA.
Funcionalidades del malware SteelFox
Una vez en control, SteelFox realiza varias actividades dañinas en el sistema:
- Minería de criptomonedas: SteelFox utiliza el controlador WinRing0.sys en combinación con una versión modificada de XMRig para minar Monero. Este proceso se conecta a un pool de minería mediante credenciales incrustadas en el código.
- Robo de información: SteelFox activa un componente para robar información, extrayendo datos de 13 navegadores web, incluyendo datos de tarjetas de crédito, historial de navegación y cookies.
- Comunicación cifrada con C2: El malware establece comunicación con su servidor de comando y control (C2) utilizando SSL pinning y TLS v1.3 para proteger sus interacciones y evitar ser detectado.
Ocultamiento de la infraestructura C2
SteelFox emplea técnicas avanzadas de ocultamiento para proteger su infraestructura. La dirección de su servidor de C2 está codificada, pero los atacantes evaden la detección al cambiar constantemente sus direcciones IP y resolverlas mediante Google Public DNS y DNS sobre HTTPS (DoH). Esto dificulta rastrear y bloquear el C2.
Regiones afectadas y software objetivo
De acuerdo con Kaspersky, SteelFox ha afectado principalmente a usuarios de software como AutoCAD, JetBrains y Foxit PDF Editor en países como Brasil, China, Rusia, México, Emiratos Árabes Unidos, Egipto, Argelia, Vietnam, India y Sri Lanka. Los investigadores destacan que el creador de SteelFox demuestra un alto nivel de habilidad en programación C++, logrando integrar varias librerías externas para dotar al malware de capacidades avanzadas.
Conclusión
SteelFox es una muestra de cómo los cibercriminales han evolucionado en sus tácticas, combinando técnicas de escalada de privilegios con herramientas de minería y robo de información en un paquete único y altamente destructivo. Para mitigar este tipo de amenazas, es esencial que los usuarios eviten descargar cracks y utilicen soluciones de ciberseguridad confiables, además de mantener sus sistemas y controladores actualizados.