Une « infection massive » de Windows par un malware a été repérée par Kaspersky. Les chercheurs ont en effet constaté qu’un logiciel malveillant baptisé SteelFox mettait tout en œuvre pour s’emparer des coordonnées bancaires des internautes. Le virus mine aussi des cryptomonnaies sur l’ordinateur de ses cibles…
Les chercheurs de Kaspersky ont découvert la trace d’un nouveau malware à l’assaut des ordinateurs sous Windows. Baptisé SteelFox, le virus opère depuis février 2023, mais a accéléré la cadence au cours des derniers mois. Ce « nouvel ensemble de logiciels criminels » abuse « des services et des pilotes Windows ».
Selon l’enquête menée par Kaspersky, SteelFox se propage par le biais de messages sur des forums ou de fichiers torrent qui promettent d’accéder à des logiciels craqués, comme AutoCAD. Les internautes vont alors télécharger un fichier compressé sur leur ordinateur. Une fois décompressé, le fichier va installer le malware.
En fait, le processus d’exécution des fichiers paraît légitime jusqu’à l’étape de la décompression. À ce moment-là, une fonction malveillante est injectée, ce qui aboutit à l’entrée en scène du virus, relate le rapport de Kaspersky :
« Avant une fonction légitime, une fonction malveillante est insérée qui est responsable du dépôt de code malveillant sur le système de l’utilisateur cible ».
À lire aussi : Vol de données en cours sur Windows – une vague de pubs malveillantes déferle sur les PC
Du crypto-minage clandestin
SteelFox est décrit comme un virus de type dropper, ou compte-gouttes en français. En clair, le logiciel malveillant est programmé pour installer d’autres virus par la suite. C’est la porte d’entrée à tous les abus, dont le vol de données personnelles.
Comme l’a constaté Kaspersky, SteelFox est aussi programmé pour exécuter le fichier WinRing0.sys, un pilote vulnérable à plusieurs failles de sécurité. Il va exploiter les vulnérabilités pour obtenir une élévation des privilèges au niveau du système. Le virus obtient in fine un accès illimité à toutes les ressources de la machine.
Dans la foulée, le malware va en profiter pour miner des cryptomonnaies à votre insu en s’appuyant sur la puissance de calcul de votre ordinateur. En l’occurrence, les cybercriminels génèrent du Monero, la crypto réputée intraçable, avec XMRig. Ce logiciel open source va dégrader les performances du PC tout en enrichissant les hackers. C’est par le biais de SteelFox qu’une version modifiée de XMRig est installée sur la machine. Il y a quelques mois, XMRig s’est déjà retrouvé dans le code de versions pirates de Microsoft Office.
13 navigateurs web ciblés
Enfin, SteelFox en profite pour siphonner les données issues de 13 navigateurs Web, à savoir Google Chrome, Opera, Opera GX, Brave, Firefox, Yandex, Wave, Midori, Avast, Vivaldi, Dragon, Chedot, et Coc Coc. Le malware cible surtout les cartes de crédit enregistrées, l’historique de navigation et les cookies. Ce sont des données sensibles qui peuvent aboutir à des pillages de comptes bancaires ou d’autres offensives. Sur Mozilla Firefox, il prend aussi le temps de collecter la liste des lieux visités.
« SteelFox ne cible aucune organisation ou personne en particulier. Au lieu de cela, il agit sur une échelle de masse, extrayant chaque bit de données qui peut être traitée plus tard », explique Kaspersky.
La campagne reposant sur SteelFox est à l’origine d’« une infection massive » identifiée par Kaspersky en aout 2024. Pour le moment, les victimes de SteelFox résident dans des pays hors Europe, comme le Brésil, la Chine, la Russie, le Mexique, les Émirats arabes unis, l’Égypte, l’Algérie, le Vietnam, l’Inde et le Sri Lanka.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Kaspersky