セキュリティ研究者によると、「SteelFox」と名付けられた新しいサイバー攻撃キャンペーンが世界中で猛威を振るっている。この攻撃は、偽のソフトウェアクラックやアクティベーターを通じて、Windowsシステムに脆弱なドライバーや情報スティーラー、暗号通貨マイナーを侵入させる手口をとっている。
対象はFoxit PDF EditorやAutoCADなどの商用ソフトで、被害はブラジルや中国、ロシアなど多国に広がる。マルウェアは脆弱性のあるドライバーを悪用し、システムにXMRigと呼ばれる暗号通貨マイナーを仕込むことで被害者のデバイス性能を奪い、さらにウェブブラウザからクレジットカード情報や閲覧履歴を盗む機能も持つ。
SteelFoxマルウェアの巧妙な手口とその脅威
SteelFoxキャンペーンは、システムに対する複数の攻撃要素を含む複雑な構造を持っている。偽のアクティベーターやクラックを通じて、WinRing0.sysという脆弱なドライバーが標的システムに導入され、古い脆弱性(CVE-2020-14979やCVE-2021-41285)を利用して攻撃者に最高レベルのシステム権限を与える。
このドライバーは、システムの制御を外部の攻撃者に奪われる危険性を内包しており、これが暗号通貨マイニングや情報スティーラーの仕込みを可能にしている。
さらに、このマルウェアはXMRigと呼ばれる人気の暗号通貨マイナーを用いて、被害者のデバイスを利用しながらMoneroなどの仮想通貨を採掘する。
これによりシステムリソースが消費され、デバイスのパフォーマンスが大幅に低下するだけでなく、電力やインターネット使用量も増加するため、ユーザーに知らぬ間に多大なコストが発生する可能性がある。SteelFoxの攻撃手法は、単なる情報窃盗に留まらず、デバイスの物理的・経済的負担をもたらす点で非常に脅威的である。
世界各地に拡大する感染状況と被害の実態
カスペルスキーの報告によると、SteelFoxの感染はブラジル、中国、ロシアなどの国々を中心に、メキシコやインド、エジプトなどにも広がっている。感染が確認された端末はすでに数万台に上り、同社が観測しただけでも11,000回以上の攻撃がブロックされている。この広がりから、SteelFoxの背後にいるサイバー犯罪者は国境を超えた大規模な攻撃を意図しているとみられる。
特に注目すべきは、このマルウェアがFoxit PDF EditorやAutoCAD、JetBrainsといった商用ソフトウェアの偽クラックを利用している点である。
一般の利用者にとっては偽の無料ソフトウェアが魅力的に見えるが、これがまさにSteelFoxの入り口となっている。これにより、ソフトウェアの不正使用を狙った手口が見え隠れし、セキュリティリテラシーが低いユーザーほど被害に遭いやすい傾向があるといえよう。SteelFoxの感染拡大は、サイバーリスクの国際的な問題として考える必要がある。
暗号通貨マイニングと情報スティーラーの複合的な悪影響
SteelFoxは単なる暗号通貨マイナーに留まらず、情報スティーラーとしても高い危険性を持つ。情報スティーラー機能を通じて、13種類のウェブブラウザーからユーザーの閲覧履歴、クレジットカード情報、セッションクッキーなどを収集する。
また、ネットワーク情報やシステム情報、RDP接続情報までをもターゲットにしており、これにより被害者のオンラインプライバシーが大きく侵害される危険性がある。
特に注意すべき点は、SteelFoxが暗号通貨ウォレットのブラウザー拡張情報も収集している可能性が指摘されていることだ。このため、個人の資産にまで影響を及ぼす恐れがあり、被害が金銭的損害にまで広がる可能性がある。SteelFoxによる被害は一時的なシステム負荷だけでなく、経済的損失やプライバシー侵害の深刻な結果をもたらし得るといえよう。