Sommario
I nuovi malware SteelFox e Interlock rappresentano minacce significative per la sicurezza informatica, utilizzando tecniche sofisticate per colpire sistemi Windows e Linux. Mentre SteelFox si concentra principalmente su furto di dati e mining di criptovalute, Interlock si caratterizza per attacchi ransomware con finalità di estorsione. Di seguito, un’analisi dettagliata delle loro modalità operative e delle implicazioni per la sicurezza.
SteelFox: dropper e miner avanzato per Windows
SteelFox è un trojan scoperto da Kaspersky che si diffonde tramite forum, blog e torrent mascherati da attivatori di software come AutoCAD e Foxit PDF Editor. Una volta installato, questo malware sfrutta il driver vulnerabile WinRing0.sys per ottenere privilegi SYSTEM. Attraverso tecniche di occultamento avanzate, SteelFox comunica con il server C2 tramite TLSv1.3 e impiega SSL pinning per proteggere la trasmissione dei dati.
Dopo l’infezione, SteelFox attiva un miner per la criptovaluta Monero e un componente stealer che raccoglie informazioni sensibili dai browser, tra cui cookie e credenziali memorizzate. L’infrastruttura del malware si aggiorna continuamente, con file dropper che si mascherano da programmi legittimi e usano crittografia AES-128 per eludere i rilevamenti.
Interlock: ransomware con doppia estorsione e persistenza
Interlock è una nuova variante di ransomware, scoperta da Cisco Talos, mirata ad aziende e organizzazioni di settori diversi, inclusi sanità e tecnologia. Questo malware si diffonde tramite un finto aggiornamento di Google Chrome che installa una Remote Access Tool (RAT) e utilizza PowerShell per raccogliere informazioni sul sistema infetto. Successivamente, Interlock installa un keylogger e un credential stealer, mantenendo l’accesso al sistema tramite RDP e altri strumenti di controllo remoto.
Una volta raggiunta una posizione strategica, Interlock carica i dati esfiltrati su un blob di Azure controllato dagli attaccanti e avvia la crittografia dei file. La richiesta di riscatto, lasciata in ogni cartella criptata, minaccia la vittima di pubblicare i dati rubati in caso di mancato pagamento, con un avviso che scade in 96 ore.
Rischi per la sicurezza
SteelFox e Interlock dimostrano una crescente complessità nelle minacce informatiche. SteelFox mira a rubare dati e monetizzare l’accesso tramite mining, mentre Interlock si concentra sull’estorsione diretta. Entrambi utilizzano tecniche avanzate come crittografia avanzata e comunicazioni protette per nascondersi dai rilevamenti e aumentare l’efficacia degli attacchi.
