Securelist 網絡安全研究人員發現了一種新型惡意軟件，這種惡意軟件冒充PDF編輯器、AutoCAD 和 JetBrains 等合法軟件， 通過在線論壇、種子跟蹤器和博客傳播。

該惡意軟件被研究人員稱為 "SteelFox"，最早于2023年2月開始活躍，其主要目標是那些下載盜版軟件和軟件激活工具（破解版）的 Windows系統用戶。到目前為止，該惡意軟件已感染了全球超過1.1萬名用戶。

根據 Securelist 與 Hackread分享的博客文章，SteelFox 是一個功能齊全的“犯罪軟件捆綁包”，可從受感染的設備中提取敏感數據，包括信用卡信息、瀏覽歷史記錄和登錄憑證。它還收集系統信息，例如已安裝的軟件、正在運行的服務和網絡配置。

該惡意軟件的初始攻擊媒介涉及軟件激活器，這些激活器在在線論壇和種子跟蹤器上做廣告，作為免費激活合法軟件的一種方式。安裝后，惡意軟件會創建一個服務，即使在重啟后也會保留在系統上，并使用易受攻擊的驅動程序來提升權限。

該惡意軟件通過一個多階段攻擊鏈運行，首先是一個需要管理員權限的下載器。 執行后會將自身安裝為 Windows 服務，并使用 AES-128 加密來隱藏其組件。 該惡意軟件通過利用易受攻擊的驅動程序實現系統級訪問，并通過 SSL pinning 實現 TLS 1.3，以便與其命令服務器進行安全通信。

SteelFox 似乎沒有針對特定的個人或組織，而是在更大范圍內運作以感染盡可能多的用戶，目前已受到感染的用戶包括阿聯酋、印度、巴西、中國、俄羅斯、埃及、阿爾及利亞、墨西哥、越南、斯里蘭卡等10多個國家。

由于SteelFox的下載器具有雙重功能——同時提供軟件 "破解 "和惡意軟件，表明網絡犯罪分子使用了復雜的工具，并使用過時的驅動程序進行權限升級。因此，企業及用戶確保系統及時打上了安全補丁變得格外重要，同時盡量從官方來源下載正版軟件。