Kaspersky a descoperit StripedFly, malware camuflat într-un program de minat criptomonede

0
0
Publicat:

Experții Kaspersky au descoperit un malware StripedFly extrem de sofisticat și necunoscut anterior, cu acoperire globală, care a afectat peste un milion de victime începând cel puțin din 2017. Acționând inițial ca un program de tip miner de criptomonede, s-a dovedit a fi un malware complex, cu un cadru wormable (abilitatea de a se propaga autonom de la un sistem la altul) multifuncțional.

Fluxul de infectare al StripedFly.

În 2022, echipa globală de cercetare și analiză a Kaspersky a întâlnit două detectări neașteptate în cadrul procesului WININIT.EXE, declanșate de secvențele de cod care au fost observate anterior în programul malware Equation. Activitatea StripedFly a fost în desfășurare cel puțin din 2017 și s-a sustras efectiv analizei anterioare, fiind clasificat anterior ca miner de criptomonede.

După efectuarea unei examinări cuprinzătoare a problemei, s-a descoperit că minerul de criptomonede era doar o componentă a unei entități mult mai mari - un cadru malițios complex, multiplatformă, multi-plugin.

Sarcina utilă de malware cuprinde mai multe module, permițându-i actorului să funcționeze ca APT, ca miner cripto și chiar ca grup de ransomware, extinzându-și potențial motivele de la câștig financiar la spionaj. În special, criptomoneda Monero, extrasă de acest modul a atins valoarea maximă la 542,33 de dolari pe 9 ianuarie 2018, comparativ cu valoarea sa din 2017 de aproximativ 10 dolari.

Începând cu 2023, a menținut o valoare de aproximativ 150 de dolari. Experții Kaspersky subliniază că modulul de miare este factorul principal care permite malware-ului să evite detectarea pentru o perioadă lungă de timp.

Atacatorul din spatele acestei operațiuni a dobândit capacități extinse de a spiona clandestin victimele. Programul malware recoltează acreditări la fiecare două ore, furând date sensibile, cum ar fi datele de conectare ale site-ului și WIFI, împreună cu date personale precum nume, adresă, număr de telefon, compania și titlul postului. În plus, malware-ul poate face capturi de ecran de pe dispozitivul victimei fără a fi detectat și poate obține un control semnificativ asupra acestuia, mergând până la activarea microfonului.

Vectorul inițial de infecție a rămas necunoscut până când investigația ulterioară a Kaspersky a dezvăluit utilizarea unui exploit EternalBlue „SMBv1” personalizat pentru a se infiltra în sistemele victimelor. În ciuda dezvăluirii publice a vulnerabilității EternalBlue în 2017 și a lansării ulterioare de către Microsoft a unui patch (denumit MS17-010), amenințarea pe care o prezintă rămâne semnificativă, deoarece mulți utilizatori nu și-au actualizat sistemele.

În timpul analizei tehnice a campaniei, experții Kaspersky au observat asemănări cu malware-ul Equation. Acestea includ indicatori tehnici, precum semnăturile asociate cu malware-ul Equation, dar și stilul și practicile de codare asemănătoare cu cele observate în programul malware StraitBizzare (SBZ). Pe baza contoarelor de descărcare afișate de depozitul în care este găzduit malware-ul, numărul estimat de ținte StripedFly a atins peste un milion de victime pe tot globul.

Pentru a evita să deveniți victimele unui atac țintit al unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:

  • Actualizați regulat sistemul de operare, aplicațiile și software-ul antivirus pentru a corecta orice vulnerabilități cunoscute.
  • Fiți atenți la e-mailuri, mesaje sau apeluri care solicită informații sensibile. Verificați identitatea expeditorului înainte de a partaja orice detalii personale sau de a face click pe link-uri suspecte.
  • Oferiți echipei dumneavoastră SOC acces la cele mai recente informații despre amenințări (TI). 
  • Oferiți echipei de securitate cibernetică posibilitatea de a aborda cele mai recente amenințări vizate cu ajutorul cursurilor online.
  • Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, implementați soluții EDR.
Mai multe pentru tine:
Cadouri de Crăciun pentru copii: 25 de hanorace și pulovere festive – de la modele la reducere sub 100 de lei, la cadouri unicat și personalizate
Fructele pe care nutriționiștii le recomandă în luna ianuarie. Au proprietăți antiinflamatoare puternice
Top detergenți și soluții anti-pete Best Overall: preferatele românilor pe eMAG în 2025–2026. Secretul hainelor impecabile
Cele mai bune 15 vinuri de pe eMAG în 2025: ce aleg românii de sărbători. Transformă mesele de Crăciun și Revelion în momente magice
Top 20 mașini de spălat și uscătoare 2025 – alege modelul perfect pentru casă și economisește inteligent
Kate n-ar fi avut de fapt cancer? După ce fanii au depistat o cicatrice suspectă pe chipul Prințesei, valuri de teorii s-au iscat
Celebrități pe care le-am pierdut în 2025. A fost un an negru la Hollywood!
Tricouri de Crăciun pentru copii și familie – Cadouri unice, outfituri cozy și reduceri exclusive eMAG: magia sărbătorilor în casa ta
Top 20 aspiratoare 2025‑2026: de la roboți la verticale. Recenzii reale, prețuri și oferte eMAG - recomandări pentru orice tip de locuință și buget
Viața exclusivistă a fiicei după moartea femeii din Sibiu. Lux în Dubai, vacanțe exotice și o nouă moștenire vizată în timp ce ancheta era în desfășurare
Interviu exclusiv cu Radu Ciucă, producător de montaj în emisiunea „La Măruță” și în podcastul „Acasă La Măruță”: „Dacă mă ajută Dumnezeu, cu puțin noroc, o să fiu în următorul sezon Survivor”