卡巴斯基全球研究与分析团队发现了一个场新的持续性恶意活动,该活动利用了福昕PDF Editor、AutoCAD和JetBrains等流行软件。攻击者使用窃密恶意软件来获取受害者的信用卡信息及其受感染设备的详细信息,同时作为加密货币挖矿程序,偷偷利用受感染计算机的算例进行加密货币挖矿。仅在三个月内,卡巴斯基技术就阻止了超过11,000次攻击尝试,受影响用户主要位于巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡。
2024年8月,卡巴斯基的全球研究与分析团队(GReAT)发现了一系列攻击,这些攻击涉及以前未知的捆绑式挖矿软件和窃密恶意软件,他们将其命名为SteelFox。
最初的感染途径涉及在论坛和BT种子网站上发布贴子,其中SteelFox释放器被伪装成可以免费激活合法软件的程序。这些释放器伪装成针对Foxit PDF Editor、JetBrains和AutoCAD等流行程序的破解程序。尽管它们提供了承诺的功能,但同时也直接将复杂的恶意软件投放到用户的计算机上。
该活动由两个主要组件组成:窃密模块和加密货币挖矿模块。SteelFox从受害者的计算机中收集大量信息,包括浏览器数据、账户凭证、信用卡信息以及已安装软件和反病毒解决方案的详细信息。它还能够捕获Wi-Fi密码、系统信息和时区数据。此外,攻击者利用修改版的XMRig(一种开源挖矿工具)来利用受感染设备的算力进行加密货币挖矿,其挖矿的加密货币可能是Monero。
GReAT的研究表明,该活动至少从2023年2月就开始活跃,至今仍构成威胁。在其运作过程中,尽管SteelFox背后的网络犯罪分子并未显著改变其功能,但他们不断修改其技术和代码以逃避检测。“攻击者逐渐多样化其感染途径,最初针对Foxit Reader用户。一旦他们确认恶意活动有效,便扩展到包括JetBrains产品的破解工具。三个月后,他们开始针对AutoCAD。该活动仍在进行中,我们预计他们可能会开始以其他更受欢迎的产品为幌子分发其恶意软件,”卡巴斯基全球研究与分析团队俄罗斯和独联体研究中心负责人Dmitry Galov评论说。
卡巴斯基大中华区总经理郑启良表示:通过公开博客和论坛分享破解软件来投递后门程序,这种社工攻击方式并不新鲜且一直存在。近些年我们看到此类攻击的数量和成功率很高,这可能是在经济下行周期内用户为了节约成本从而放弃正版软件寻求破解版本。这提醒我们的博客和论坛运营者要加强安全审查流程升级技术方案。
SteelFox的运行规模很大,凡是遇到受感染软件的用户都会受到影响。从8月到9月底,卡巴斯基安全解决方案检测到超过11,000次攻击,其中大多数受影响的用户位于巴西、中国、俄罗斯、墨西哥、阿联酋、埃及、阿尔及利亚、越南、印度和斯里兰卡。
为了最大限度地降低成为此类恶意活动受害者的风险,卡巴斯基专家还建议:
- 仅从官方来源下载应用程序
- 定期更新操作系统和安装的应用程序
- 安装来自经过独立测试实验室验证的开发者所开发的可靠安全解决方案,例如卡巴斯基高级版。
卡巴斯基的产品将此威胁检测为HEUR:Trojan.Win64.SteelFox.gen、Trojan.Win64.SteelFox.*
有关这次恶意行动的更多详情,请参阅Securelist.com.
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
