Securelist 網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新型惡意軟件，這種惡意軟件冒充PDF編輯器、AutoCAD 和 JetBrains 等合法軟件， 通過在線論壇、種子跟蹤器和博客傳播。

該惡意軟件被研究人員稱為 "SteelFox"，最早于2023年2月開始活躍，其主要目標(biāo)是那些下載盜版軟件和軟件激活工具（破解版）的 Windows系統(tǒng)用戶。到目前為止，該惡意軟件已感染了全球超過1.1萬名用戶。

根據(jù) Securelist 與 Hackread分享的博客文章，SteelFox 是一個功能齊全的“犯罪軟件捆綁包”，可從受感染的設(shè)備中提取敏感數(shù)據(jù)，包括信用卡信息、瀏覽歷史記錄和登錄憑證。它還收集系統(tǒng)信息，例如已安裝的軟件、正在運(yùn)行的服務(wù)和網(wǎng)絡(luò)配置。

該惡意軟件的初始攻擊媒介涉及軟件激活器，這些激活器在在線論壇和種子跟蹤器上做廣告，作為免費(fèi)激活合法軟件的一種方式。安裝后，惡意軟件會創(chuàng)建一個服務(wù)，即使在重啟后也會保留在系統(tǒng)上，并使用易受攻擊的驅(qū)動程序來提升權(quán)限。

該惡意軟件通過一個多階段攻擊鏈運(yùn)行，首先是一個需要管理員權(quán)限的下載器。 執(zhí)行后會將自身安裝為 Windows 服務(wù)，并使用 AES-128 加密來隱藏其組件。 該惡意軟件通過利用易受攻擊的驅(qū)動程序?qū)崿F(xiàn)系統(tǒng)級訪問，并通過 SSL pinning 實(shí)現(xiàn) TLS 1.3，以便與其命令服務(wù)器進(jìn)行安全通信。

SteelFox 似乎沒有針對特定的個人或組織，而是在更大范圍內(nèi)運(yùn)作以感染盡可能多的用戶，目前已受到感染的用戶包括阿聯(lián)酋、印度、巴西、中國、俄羅斯、埃及、阿爾及利亞、墨西哥、越南、斯里蘭卡等10多個國家。

由于SteelFox的下載器具有雙重功能——同時提供軟件 "破解 "和惡意軟件，表明網(wǎng)絡(luò)犯罪分子使用了復(fù)雜的工具，并使用過時的驅(qū)動程序進(jìn)行權(quán)限升級。因此，企業(yè)及用戶確保系統(tǒng)及時打上了安全補(bǔ)丁變得格外重要，同時盡量從官方來源下載正版軟件。