Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Controladores Vulnerables: El Arma Secreta del Malware SteelFox

Escrito por Scarlet Mendoza | Nov 7, 2024 5:03:20 PM

Un nuevo malware, SteelFox, está causando revuelo entre los expertos en ciberseguridad. Este malware no solo mina criptomonedas sin que te des cuenta, sino que también roba datos de tus tarjetas de crédito usando una técnica conocida como "traer tu propio controlador vulnerable". Básicamente, aprovecha un fallo en controladores legítimos para colarse en tu PC y hacerse con permisos de administrador.

¿Y cómo se distribuye? Pues fácil, lo encuentras en foros y sitios de torrents disfrazado de herramienta para crackear programas populares como Foxit PDF Editor, JetBrains o AutoCAD. Lo descargas pensando que es "la solución mágica", pero lo que en realidad obtienes es un ticket directo al desastre.

Esta táctica de usar controladores vulnerables no es nueva; de hecho, es común en ataques de grupos patrocinados por estados o ransomware. Lo preocupante es que ahora también está siendo usada en malware diseñado para robar información personal, lo que lo hace aún más peligroso para usuarios comunes. Así que ya sabes, piénsalo dos veces antes de descargar algo que suena demasiado bueno para ser verdad.

Los expertos de Kaspersky descubrieron a SteelFox por primera vez en agosto, pero parece que este malware lleva dando vueltas desde febrero de 2023. Lo peor es que últimamente ha estado ganando terreno, distribuyéndose a través de todo tipo de canales como torrents, blogs y foros.

Según Kaspersky, sus sistemas han detectado y bloqueado más de 11,000 ataques de SteelFox hasta ahora. Nada mal para un malware que comenzó relativamente bajo el radar, pero que ahora está pisando fuerte.

 

 

¿Cómo funciona SteelFox?

 

Según Kaspersky, las publicaciones maliciosas que promueven el supuesto "programa antivirus SteelFox" vienen con instrucciones detalladas para activar software de manera ilegal. Por ejemplo, hay publicaciones que explican cómo crackear programas como JetBrains, todo con lujo de detalles.

 



Pero aquí viene el truco: aunque el cuentagotas (el instalador) realmente hace lo que promete, también infecta el sistema con malware sin que el usuario lo note. El problema empeora porque, para instalar estas herramientas pirata, normalmente necesitas permisos de administrador, ya que el software suele ir a la carpeta "Archivos de programa". SteelFox aprovecha este acceso privilegiado para llevar su ataque al siguiente nivel, tomando control del sistema de manera silenciosa pero efectiva. Moraleja: esos cracks "gratis" pueden salirte muy caros.

 

Podría interesarte leer: Análisis de Malware con Wazuh

 

Los investigadores explican que SteelFox parece inofensivo al principio. Todo va "normal" hasta que, durante la instalación, se descomprimen los archivos y, ¡boom!, se agrega código malicioso al sistema.

Con permisos de administrador, SteelFox crea un servicio que ejecuta WinRing0.sys, un controlador vulnerable a fallos conocidos (CVE-2020-14979 y CVE-2021-41285). ¿Por qué importa esto? Porque esos fallos permiten al malware escalar privilegios al nivel NT/SYSTEM, el más alto en Windows. Esto significa acceso ilimitado a todo en tu PC, más allá de lo que un administrador normal podría hacer.

Pero eso no es todo. SteelFox también usa WinRing0.sys para minar criptomonedas, específicamente Monero, a través de una versión modificada del programa XMRig. El minero está configurado para conectarse a un pool con credenciales codificadas, minando en segundo plano sin que te des cuenta. Además, el malware establece una conexión segura con su servidor de comando y control (C2) usando SSL y TLS v1.3, lo que hace que las comunicaciones sean casi imposibles de interceptar.

Por si fuera poco, activa un componente llamado Info-Stealer, que roba datos de 13 navegadores web, además de recopilar información sobre tu sistema, red y conexiones RDP. 

 

 

Lo que hace SteelFox y a quién afecta

 

SteelFox no pierde tiempo: escanea tus navegadores en busca de datos sensibles como tarjetas de crédito, historial de navegación y cookies. Todo esto mientras mantiene su conexión al servidor de control (C2) bien oculta. ¿Cómo lo hace? Cambiando constantemente sus direcciones IP y usando Google Public DNS junto con DNS sobre HTTPS (DoH). Esto complica mucho rastrear y bloquear sus actividades.

Aunque no apunta a objetivos específicos, SteelFox parece estar especialmente interesado en usuarios de programas como AutoCAD, JetBrains y Foxit PDF Editor. Según los datos de Kaspersky, este malware ya ha infectado sistemas en países como Brasil, China, Rusia, México, Emiratos Árabes Unidos, Egipto, Argelia, Vietnam, India y Sri Lanka.

A pesar de ser relativamente nuevo, SteelFox no es cualquier cosa. Según los expertos, es un paquete malicioso completo y muy bien desarrollado. Todo indica que su creador domina la programación en C++ y ha logrado integrar bibliotecas externas para hacerlo aún más potente. Así que, aunque acaba de salir a la luz, SteelFox ya demuestra ser un rival complicado para las defensas de ciberseguridad.

 

Conoce más sobre:  México Sufre 781 Ciberataques Diarios

 

¿Qué significa esto?

 

Cuidado con los cracks y herramientas pirata que parecen "demasiado buenas para ser verdad". Lo barato puede salirte caro cuando un malware como SteelFox pone tus datos y tu PC en juego.