El paquete malicioso SteelFox combina 'ransomware' con técnicas de criptominería y se dirige a ordenadores Windows

Un paquete de 'malware' conocido como SteelFox, que combina técnicas de criptominería y robo de datos de crédito de las víctimas, se ofrece como 'software' legítimo como AutoCAD o JetBrains para Windows y ha registrado más de 11.000 intentos de ataque en solo tres meses.

El Equipo de Análisis e Investigación Global (GReAT) de la firma de ciberseguridad Kaspersky ha advertido esta campaña maliciosa, activa al menos desde febrero de 2023 y que sigue representando una amenaza en la actualidad, según han expuesto en un comunicado.

Este grupo de analistas descubrió SteelFox en agosto de 2024 tras investigar diferentes ataques que involucraban este paquete, que se anuncia en foros como un 'dropper' que permite activar productos de 'software' legítimos de manera gratuita. Si bien estos programas tienen ofrecen las funcionalidades anunciadas, también pueden obtener privilegios de sistema una vez instalados.

Más concretamente, esta campaña maliciosa explota programas populares como Foxit PDF Editor, AutoCAD y JetBrains para ejecutar 'ransomware' en ordenadores Windows, una cadena de ejecución que parece legítima hasta el momento en que se descomprimen los archivos, tal y como también se recoge en el blog de Kaspersky.

Así, uan bez obtiene los derechos de administrador, SteelFox crea un servicio que ejecuta un controlador denominado WinRingO.sys, que se puede explotar para obtener diferentes privilegios a nivel de sistema (NT/System), esto es, los que permiten al actor malicioso acceder sin restricciones a cualquier proceso o recurso.

Además de recopilar información de las tarjetas de las víctimas, así como detalles sobre los dispositivos infectados y las soluciones antivirus que éstos dispongan; el ataque implementa una segunda técnica al operar como 'malware' criptominero. Más concretamente, los ciberdelincuentes emplean una versión modificada del ejecutable XMRing para dirigirse a criptomonedas como Monero.

Los investigadores de Kaspersky han señalado que han logrado detectar y bloquear más de 11.000 intentos de ataque de este paquete malicioso desde agosto hasta finales de octubre. La mayoría de los usuarios afectados se encuentran en Brasil, China, Rusia, México, Emiratos Árabes Unidos, Egipto, Argelia, India, Vietnam y Sri Lanka.

Para minimizar riesgos, la compañía ha recomendado descargar aplicaciones solo de fuentes oficiales, actualizar periódicamente el sistema operativo y las aplicaciones instaladas e instalar una solución de seguridad o antivirus confiable.