内容摘要：Securelist 网络安全研究人员发现了一种新型恶意软件，这种恶意软件冒充PDF编辑器、AutoCAD 和 JetBrains 等合法软件， 通过在线论坛、种子跟踪器和博客传播。该恶意软件被研究人

Securelist 网络安全研究人员发现了一种新型恶意软件，新型这种恶意软件冒充PDF编辑器
、恶意AutoCAD 和 JetBrains 等合法软件 ，软件软件 通过在线论坛 、冒充种子跟踪器和博客传播
。流行浏览

该恶意软件被研究人员称为 "SteelFox"，窃取器数最早于2023年2月开始活跃，新型其主要目标是恶意那些下载盗版软件和软件激活工具（破解版）的 Windows系统用户 。到目前为止 ，软件软件该恶意软件已感染了全球超过1.1万名用户
 。冒充

根据 Securelist 与 Hackread分享的云计算流行浏览博客文章，SteelFox 是窃取器数一个功能齐全的“犯罪软件捆绑包” ，可从受感染的新型设备中提取敏感数据，包括信用卡信息 、恶意浏览历史记录和登录凭证 。软件软件它还收集系统信息，例如已安装的软件 、正在运行的香港云服务器服务和网络配置。

该恶意软件的初始攻击媒介涉及软件激活器
，这些激活器在在线论坛和种子跟踪器上做广告 ，作为免费激活合法软件的一种方式
。安装后，恶意软件会创建一个服务，即使在重启后也会保留在系统上，并使用易受攻击的驱动程序来提升权限 。

该恶意软件通过一个多阶段攻击链运行，源码库首先是一个需要管理员权限的下载器。 执行后会将自身安装为 Windows 服务 ，并使用 AES-128 加密来隐藏其组件。 该恶意软件通过利用易受攻击的驱动程序实现系统级访问 ，并通过 SSL pinning 实现 TLS 1.3 ，以便与其命令服务器进行安全通信。

SteelFox 似乎没有针对特定的个人或组织，而是亿华云在更大范围内运作以感染尽可能多的用户
，目前已受到感染的用户包括阿联酋、印度、巴西、中国 、俄罗斯 、埃及、阿尔及利亚、墨西哥、越南
、高防服务器斯里兰卡等10多个国家。

由于SteelFox的下载器具有双重功能——同时提供软件 "破解 "和恶意软件  ，表明网络犯罪分子使用了复杂的工具，并使用过时的驱动程序进行权限升级 。因此
，企业及用户确保系统及时打上了安全补丁变得格外重要，同时尽量从官方来源下载正版软件
 。