SteelFoxマルウェアが脆弱ドライバを悪用しシステム権限を奪取、クレジットカード情報を狙う新たな脅威

カスペルスキーの研究者によって発見された新たなマルウェア「SteelFox」は、脆弱なドライバを利用してWindowsマシン上でシステム権限を奪取し、暗号通貨の採掘やクレジットカード情報の窃取を行う。

脅威アクターはSteelFoxをFoxit PDFエディターやJetBrains、AutoCADのアクティベーション用クラックツールとして偽装し、フォーラムやトレントトラッカーなどを通じて拡散。正規のソフトウェアに見せかけた手口により、ユーザーが知らぬ間にシステムが侵害される事態が相次いでいる。

このSteelFoxは、WinRing0.sysドライバの脆弱性を悪用し、NT/SYSTEMレベルへの権限昇格を実現する高度な手法を用いる。このドライバはXMRigマイナーを介してMoneroの採掘に利用されるほか、SSLピンニングやTLS v1.3を使用してC2サーバーとの通信を暗号化し、情報窃取のカバー範囲も広い。

特に、ブラウザからクレジットカードデータや閲覧履歴、RDP接続情報を収集するSteelFoxは、犯罪ウェアの新たなモデルといえるだろう。

権限昇格手法とその脅威：WinRing0.sysドライバの悪用
クラックツールに潜む危険性と拡散経路：無防備なユーザーの危機
SteelFoxの情報収集機能と通信暗号化：新たなデータ窃取の手法

権限昇格手法とその脅威：WinRing0.sysドライバの悪用

SteelFoxマルウェアの脅威を特徴付けるのは、WinRing0.sysドライバの脆弱性を悪用した権限昇格の手法である。CVE-2020-14979およびCVE-2021-41285という既知の脆弱性を利用することで、SteelFoxは通常の管理者権限を超えたNT/SYSTEMレベルの権限に昇格する。

これにより、SteelFoxはシステム上のすべてのリソースやプロセスに制限なくアクセス可能となり、通常のウイルス対策では検出しづらい深刻なリスクをもたらす。

WinRing0.sysドライバの使用は、暗号通貨マイニングを目的としたXMRigプログラムにおいても確認されており、SteelFoxはこのドライバの脆弱性を巧みに利用する。カスペルスキーによると、脅威アクターはハードコードされた資格情報を用いて暗号通貨採掘プールに接続するため、SteelFoxを介したマイニング活動が密かに行われている。

SteelFoxの開発者はC++プログラミングや外部ライブラリの統合に精通しているとされ、この高度な技術がSteelFoxの脅威を一層強化している。こうした高度なマルウェアの出現は、今後のサイバー犯罪の高度化を予感させるものであり、組織や個人のセキュリティ対策を一段と求められる状況にしている。

クラックツールに潜む危険性と拡散経路：無防備なユーザーの危機

SteelFoxは、正規ソフトウェアを違法にアクティベートするクラックツールに偽装し、フォーラムやトレントトラッカーといったオンラインコミュニティを通じて配布されている。

例えば、Foxit PDFエディターやJetBrains、AutoCADのクラックツールに見せかけ、ユーザーがアクティベーション目的でインストールすると、マルウェアがシステムに侵入する構造だ。カスペルスキーの報告によると、この感染経路は同社の製品によって11,000回もの検出・ブロックが行われているが、現実には多くのシステムが侵害を受け続けている。

違法なクラックツールに依存するユーザーは、自分のデバイスが侵害されるリスクを意識していないことが多い。SteelFoxは管理者権限の取得を介してシステムへの完全なアクセスを確立し、後にWinRing0.sysドライバを利用して権限をさらに拡大する。

このような構造から、ユーザーの注意不足や防御の欠如が重大なリスクを招くことがわかる。セキュリティ意識の欠如がSteelFoxのような脅威に対する最大の弱点であり、法的なルートでソフトウェアを入手することが防御の第一歩となるだろう。

SteelFoxの情報収集機能と通信暗号化：新たなデータ窃取の手法

SteelFoxは、権限昇格によって取得した強力な権限を利用し、ユーザーのデータを広範囲にわたって収集する。具体的には、13種類のウェブブラウザからクレジットカード情報、閲覧履歴、クッキー、システムやRDP接続に関する情報まで抽出する機能を有する。この情報は、SteelFoxのC2サーバーに送信されるが、通信にはSSLピンニングとTLS v1.3が使用されており、外部からの傍受を困難にしている。

SteelFoxが採用するSSLピンニングとTLS v1.3の組み合わせは、現在のサイバー攻撃における通信暗号化の最前線に立つものであり、サイバー犯罪者がいかに進化しているかを示している。

また、カスペルスキーによれば、SteelFoxはC2サーバーのIPアドレスを頻繁に変更し、Google Public DNSやDNS over HTTPS（DoH）を通じてドメインを隠蔽している。この高度な手法は、追跡を困難にするだけでなく、SteelFoxが「完全な犯罪ウェアバンドル」と評される所以である。