در آگوست 2024، کسپرسکی یک باندل جرمافزار جدید را شناسایی کرد و آن را “SteelFox” نامید.
این تهدید که از طریق زنجیره های اجرایی پیچیده از جمله shellcoding ارائه میشود، از سرویسها و درایورهای ویندوز سوء استفاده میکند و از طریق پستهای فروم، ردیابهای مخرب تورنت و وبلاگها، به تقلید از نرمافزارهای محبوب مانند Foxit PDF Editor و AutoCAD منتشر میشود. SteelFox از بدافزار سارق اطلاعات به منظور استخراج دادههای کارت اعتباری قربانی و جزئیات مربوط به دستگاه آلوده استفاده میکند و از طریق پینینگ SSL و TLSv1.3 با C2 خود ارتباط برقرار میکند.
همچنین دامنهای با IP متغیر به کار میبرد و با استفاده از کتابخانه Boost.Asio پیادهسازی میشود. SteelFox میتواند سطح دسترسی خود را از طریق اکسپلویت درایور آسیبپذیر (CVE-2020-14979 و CVE-2021-41285) ارتقا دهد. این کمپین در پلتفرم چینی Baidu و ردیاب های تورنت روسیه بسیار فعال بوده است.
https://securelist.com/steelfox-trojan-drops-stealer-and-miner/114414/