Новый мультитул в мире зловредов: троянец SteelFox крадёт данные российских пользователей и использует их устройства для майнинга криптовалюты

06.11.2024

Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили новый троянец и назвали его SteelFox. В нём реализована функциональность майнера и стилера: зловред использует мощности заражённых компьютеров, чтобы майнить криптовалюту, а также крадёт конфиденциальные данные пользователей и отправляет их атакующим. За август — октябрь 2024 года решения «Лаборатории Касперского» зафиксировали более 11 тысяч атак зловреда в разных странах мира*. От всех атакованных троянцем SteelFox пользователей 20% находились в Бразилии, 8% — в Китае и ещё 8% — в России. На сегодняшний день эта киберугроза остаётся актуальной.

SteelFox распространяется под видом неофициального ПО, которое используется для бесплатной активации популярных программ. Речь идёт, в частности, о фальшивых активаторах для AutoCAD (систем автоматизированного проектирования и черчения), Foxit PDF Editor (приложения для редактирования PDF-документов) и продуктов JetBrains (инструментов для разработки на популярных языках программирования). Пользователи могут столкнуться со SteelFox на форумах, торрент-трекерах, GitHub.

Майнинг криптовалюты

Злоумышленники используют модифицированную версию XMRig — майнера с открытым исходным кодом. В обнаруженной кампании он представляет собой один из компонентов троянца SteelFox. Атакующие используют мощности заражённых устройств, чтобы майнить криптовалюту, — вероятнее всего, Monero.

Кража конфиденциальных данных

Другой компонент SteelFox — это программа-стилер, которая может собирать большой объём информации на компьютере жертвы и отправлять её атакующим. Речь идёт, в частности, о данных из браузеров: истории посещённых сайтов, данных учётных записей и банковских карт, а также сведениях об установленном ПО, антивирусных решениях. К тому же троянец способен передавать пароли от Wi-Fi-сетей, информацию о системе и часовом поясе. Это далеко не полный перечень сведений, которые крадёт зловред. В дальнейшем полученную информацию злоумышленники могут, например, продавать на теневых площадках.

«Злоумышленники пытаются получить максимальную выгоду от своих действий. Например, известны зловреды, которые сочетали в себе функциональность майнера и шифровальщика: атакующие зарабатывали на работе майнера, пока ждали выкупа за расшифровку данных. SteelFox — наглядный пример того, как злоумышленники могут попытаться монетизировать как вычислительные мощности устройства, так и его содержимое», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.