Los hackers ahora enfocan sus ataques en una vulnerabilidad de controladores de Windows para propagar malware.
Un nuevo ataque mediante BYOVD ha resultado en la instalación de un robo de información y un minero de criptomonedas en tu PC con Windows. Esta campaña de amenazas, conocida como SteelFox, utiliza activadores falsos.
Los expertos en seguridad han alertado sobre una nueva estrategia de los hackers que apunta a los controladores de Windows, introduciendo un nuevo riesgo para los usuarios de este sistema operativo. Según información difundida, miles de computadoras comprometidas han sido infectadas tras la promoción de activadores y cracks falsos para software reconocido como AutoCAD, JetBrains y Foxit PDF Editor. Este paquete malicioso, conocido como SteelFox, ha estado expandiéndose quedando en la sombra desde febrero de 2023, pero su propagación ha aumentado significativamente en tiempos recientes.
El malware se distribuye principalmente a través de rastreadores torrent y foros, donde se presenta como una herramienta para activar versiones legítimas del software mencionado. Los expertos advierten que este malware imita funciones relacionadas con criptomonedas y se apodera de información sensible tanto financiera como no financiera de los dispositivos afectados.
Al instalar el crack falso, se añade un controlador vulnerable conocido como WinRingO.sys, que restaura dos vulnerabilidades ya conocidas: CVE-2021-41285 y CVE-2020-14979, creadas hace tres y cuatro años, respectivamente. Estas brechas permiten a los hackers obtener acceso completo a las computadoras. Mediante el aprovechamiento de estas vulnerabilidades, los atacantes instalan XMRig, un programa que roba recursos del sistema para minar criptomonedas, en un ataque denominado cryptojacking. XMRig utiliza la electricidad, la potencia del PC y la conexión a internet para minar Monero y otras criptomonedas, lo que puede hacer que la computadora se vuelva inservible.
Además, se instala un recolector de información que obtiene datos de 13 navegadores web, incluyendo el historial de navegación, información de tarjetas de crédito, cookies de sesión, datos de red e información del sistema. También se establece una conexión mediante el Protocolo de Escritorio Remoto (RDP). Un post malicioso que detalla cómo lanzar el software ilegal también fue mencionado en el informe. Según los analistas, "la cadena de ejecución parece legítima hasta el momento en que los archivos son descomprimidos". En ese punto, se inserta el software dañino y se añade el código de máquina que habilita a SteelFox.
Hasta este momento, se informa que han sido bloqueados alrededor de 11,000 ataques, aunque el número podría ser considerablemente mayor. Los usuarios afectados se encuentran en diversas partes del mundo, incluyendo países como México, Brasil, Rusia, China, Emiratos Árabes Unidos, Argelia, Egipto, Vietnam, Sri Lanka e India. Para protegerse, se aconseja a los usuarios descargar software sólo de fuentes legítimas y considerar el uso de un antivirus de alta calidad.
