SteelFox: un malware per il furto dei dati delle carte di credito

Il malware SteelFox rappresenta una minaccia crescente nel panorama della cybersicurezza, progettato specificamente per il furto di informazioni sensibili, in particolare i dati delle carte di credito. Scoperto dagli esperti di Kaspersky all’inizio di agosto, SteelFox è stato rintracciato fino a febbraio 2023, suggerendo una diffusione silenziosa ma efficace. La sua funzionalità primaria come infostealer lo rende insidioso, poiché non solo ruba dati, ma è anche capace di effettuare il mining di criptovalute.

Attraverso un uso sofisticato di servizi e driver di sistema, questo malware riesce a sottrarsi dalla rilevazione delle tradizionali soluzioni di sicurezza. Le tecniche di infezione utilizzate sono particolarmente allarmanti, poiché sfruttano l’installazione di software pirata, aprendo la porta a gravi conseguenze per gli utenti non consapevoli.

Origine e diffusione del malware

Il malware SteelFox è emerso come una seria minaccia per la sicurezza informatica, con una diffusione che sembra aver avuto inizio già nella prima parte del 2023. Gli esperti di Kaspersky ne hanno monitorato le attività e hanno riscontrato che questo malware è prevalentemente legato alla circolazione di attivatori per software commerciali. Questi attivatori, comunemente pubblicati su piattaforme come blog, forum e siti di torrent, sembrano offrire vantaggi apparentemente innocui, ma sono invece veicoli per l’infezione.

Tra i software vulnerabili sfruttati da SteelFox ci sono applicazioni famose come AutoCAD, Foxit PDF Editor e JetBrains. L’interazione con questi crack richiede l’installazione di permessi di amministratore, il che consente al malware di appropriarsi di privilegi elevati già al momento dell’installazione. Le sue attività sono maggiormente concentrate in Brasile, ma ha colpito anche altri paesi come Cina, Russia, Messico, Emirati Arabi Uniti ed Egitto, indicando un’operatività internazionale e ben organizzata da parte dei cybercriminali.

Tecniche di infezione e vulnerabilità sfruttate

SteelFox manifesta una sofisticata strategia di infezione attraverso la distribuzione di crack per software noti, che fungono da vettori per compromettere i sistemi. L’approccio inziale prevede la pubblicazione di questi attivatori in spazi virtuali accessibili, come blog, forum e torrent. Gli utenti ingannati, credendo di ottenere una copia gratuita di software come AutoCAD o Foxit PDF Editor, scaricano file che in realtà installano il malware sul proprio computer.

Questo processo di attivazione implica la richiesta di privilegi di amministratore, concessi senza una piena consapevolezza dei rischi associati. Una volta attivato, SteelFox genera un servizio che avvia il driver WinRing0.sys, sfruttando vulnerabilità note (CVE-2020-14979 e CVE-2021-41285) per ottenere privilegi di accesso elevati, come NT/SYSTEM. Questa escalation consente al malware di infiltrarsi più profondamente nel sistema operativo, eludendo i controlli di sicurezza e aumentando le possibilità di raccolta dei dati.

Successivamente, SteelFox stabilisce un contatto con un server di comando e controllo (C2), attivando così la sua funzionalità principale di furto dati. L’uso di servizi e driver di sistema per mascherare la propria presenza rende questa minaccia ancor più insidiosa, poiché riesce a operare con una discrezione preoccupante.

Impatto e dati rubati

La diffusione di SteelFox ha avuto un impatto significativo sulla sicurezza dei dati personali degli utenti. L’infezione portata dal malware si traduce non solo nella perdita di informazioni sensibili, ma nella compromissione della sicurezza finanziaria di gran parte delle vittime. Questo tipo di malware è progettato per raccogliere dettagli preziosi, specialmente quelli relativi alle carte di credito, dai browser installati sui dispositivi infetti.

SteelFox ha accesso a un’ampia gamma di informazioni. Tra i dati rubati figurano numerosi dettagli delle carte di credito, come numeri di carta, date di scadenza e codici di sicurezza. Inoltre, il malware è in grado di raccogliere cookie di sessione, cronologie di navigazione e informazioni sulla posizione geografica, aumentando le capacità dei criminali informatici di condurre frodi online efficaci. Le vittime di questo attacco informatico si trovano principalmente in Brasile, mentre altri paesi come Cina, Russia, Messico, Emirati Arabi Uniti ed Egitto non sono stati risparmiati.

La conseguenza diretta di tali attacchi si traduce in un rischio elevato di furti d’identità e frodi finanziarie, un problema che va al di là della semplice perdita di dati, coinvolgendo una rete di illecito ben organizzata. Gli esperti di sicurezza informatica sottolineano lUrgenza di implementare misure preventive per mitigare il rischio di infezione e proteggere i dati sensibili.

Misure di protezione e prevenzione

Per difendersi efficacemente dalle minacciose attività di SteelFox e di malware simili, è fondamentale adottare una serie di misure di protezione e prevenzione. La prima raccomandazione è quella di evitare il download di software da fonti non ufficiali o sospette, poiché molti di questi file contengono attivatori compromessi che celano malware. Investire in software legittimi è una strategia fondamentale per garantire la sicurezza del sistema.

In secondo luogo, mantenere aggiornati sia il sistema operativo che le applicazioni installate è cruciale. Le patch di sicurezza rilasciate dagli sviluppatori spesso correggono vulnerabilità che i malware, come SteelFox, possono sfruttare. Inoltre, l’uso di soluzioni antivirus reputate e con funzionalità di rilevamento proattivo contribuisce a identificare e bloccare minacce prima che possano causare danni.

È altresì consigliabile attivare funzionalità di sicurezza integrate nel sistema operativo, come il controllo delle applicazioni e i firewall. Questi strumenti possono fungere da barriera aggiuntiva contro tentativi di accesso non autorizzato o attività sospette. Infine, educare gli utenti sulla sicurezza informatica, sensibilizzandoli sui rischi delle tecniche di ingegneria sociale, rappresenta uno step fondamentale per prevenire infezioni da malware e proteggere i propri dati finanziari e personali.