Le package malveillant SteelFox pour Windows combine un « ransomware » avec des techniques de cryptomining

MADRID, 8 novembre (Portaltic/EP) –

Un package malveillant connu sous le nom de Renard d’acierqui combine techniques de crypto mining et vol des données de crédit des victimes, proposé comme « logiciel » légitimes comme AutoCAD ou JetBrains pour Windows et a enregistré plus de 11 000 tentatives d’attaque en seulement trois mois.

L’équipe mondiale de recherche et d’analyse (GReAT) de la société de cybersécurité Kaspersky a mis en garde contre cette campagne malveillante, active depuis au moins février 2023 et qui continue de représenter aujourd’hui une menace, comme elle l’a déclaré dans une déclaration.

Ce groupe d’analystes a découvert SteelFox en août 2024 après avoir enquêté sur différentes attaques impliquant ce package, présenté sur les forums comme un « compte-gouttes » permettant d’activer gratuitement des produits logiciels légitimes. Bien que ces programmes offrent les fonctionnalités annoncées, ils peuvent également obtenir des privilèges système une fois installés.

Plus précisément, cette campagne malveillante exploite des programmes populaires tels que Éditeur PDF Foxit, AutoCAD oui JetBrains pour exécuter des « ransomwares » sur les ordinateurs Windows, une chaîne d’exécution qui semble légitime jusqu’au moment où les fichiers sont décompressés, comme le rapporte également le blog Kaspersky.

Ainsi, une fois que vous obtenez les droits d’administrateur, SteelFox crée un service qui exécute un gestionnaire appelé WinRingO.sysqui peut être exploité pour obtenir différents privilèges au niveau du système (NT/Système), c’est-à-dire ceux qui permettent à l’acteur malveillant d’accéder à n’importe quel processus ou ressource sans restrictions.

En plus de collecter des informations sur les cartes des victimes, ainsi que des détails sur les appareils infectés et les solutions antivirus dont elles disposent ; L’attaque met en œuvre une deuxième technique en fonctionnant comme un « logiciel malveillant » de cryptominage. Plus précisément, les cybercriminels utilisent une version modifiée de l’exécutable XMRing pour cibler les cryptomonnaies telles que Monero.

Les chercheurs de Kaspersky ont indiqué avoir atteint détecter et bloquer plus de 11 000 tentatives d’attaque de ce package malveillant d’août à fin octobre. La plupart des utilisateurs concernés se trouvent au Brésil, en Chine, en Russie, au Mexique, aux Émirats arabes unis, en Égypte, en Algérie, en Inde, au Vietnam et au Sri Lanka.

Pour minimiser les risques, la société a recommandé de télécharger des applications uniquement à partir de sources officielles, de mettre à jour périodiquement le système d’exploitation et les applications installées et d’installer une solution de sécurité ou antivirus fiable.