Kaspersky a descoperit StripedFly, malware camuflat într-un program de minat criptomonede
0Experții Kaspersky au descoperit un malware StripedFly extrem de sofisticat și necunoscut anterior, cu acoperire globală, care a afectat peste un milion de victime începând cel puțin din 2017. Acționând inițial ca un program de tip miner de criptomonede, s-a dovedit a fi un malware complex, cu un cadru wormable (abilitatea de a se propaga autonom de la un sistem la altul) multifuncțional.
![Fluxul de infectare al StripedFly.](https://cdn.adh.reperio.news/image-5/56df7876-84e3-4f7c-bbec-1cc4141b1ec3/index.jpeg?p=a%3D1%26co%3D1.05%26w%3D700%26h%3D746%26r%3Dcontain%26f%3Dwebp)
În 2022, echipa globală de cercetare și analiză a Kaspersky a întâlnit două detectări neașteptate în cadrul procesului WININIT.EXE, declanșate de secvențele de cod care au fost observate anterior în programul malware Equation. Activitatea StripedFly a fost în desfășurare cel puțin din 2017 și s-a sustras efectiv analizei anterioare, fiind clasificat anterior ca miner de criptomonede.
După efectuarea unei examinări cuprinzătoare a problemei, s-a descoperit că minerul de criptomonede era doar o componentă a unei entități mult mai mari - un cadru malițios complex, multiplatformă, multi-plugin.
Sarcina utilă de malware cuprinde mai multe module, permițându-i actorului să funcționeze ca APT, ca miner cripto și chiar ca grup de ransomware, extinzându-și potențial motivele de la câștig financiar la spionaj. În special, criptomoneda Monero, extrasă de acest modul a atins valoarea maximă la 542,33 de dolari pe 9 ianuarie 2018, comparativ cu valoarea sa din 2017 de aproximativ 10 dolari.
Începând cu 2023, a menținut o valoare de aproximativ 150 de dolari. Experții Kaspersky subliniază că modulul de miare este factorul principal care permite malware-ului să evite detectarea pentru o perioadă lungă de timp.
Atacatorul din spatele acestei operațiuni a dobândit capacități extinse de a spiona clandestin victimele. Programul malware recoltează acreditări la fiecare două ore, furând date sensibile, cum ar fi datele de conectare ale site-ului și WIFI, împreună cu date personale precum nume, adresă, număr de telefon, compania și titlul postului. În plus, malware-ul poate face capturi de ecran de pe dispozitivul victimei fără a fi detectat și poate obține un control semnificativ asupra acestuia, mergând până la activarea microfonului.
Vectorul inițial de infecție a rămas necunoscut până când investigația ulterioară a Kaspersky a dezvăluit utilizarea unui exploit EternalBlue „SMBv1” personalizat pentru a se infiltra în sistemele victimelor. În ciuda dezvăluirii publice a vulnerabilității EternalBlue în 2017 și a lansării ulterioare de către Microsoft a unui patch (denumit MS17-010), amenințarea pe care o prezintă rămâne semnificativă, deoarece mulți utilizatori nu și-au actualizat sistemele.
În timpul analizei tehnice a campaniei, experții Kaspersky au observat asemănări cu malware-ul Equation. Acestea includ indicatori tehnici, precum semnăturile asociate cu malware-ul Equation, dar și stilul și practicile de codare asemănătoare cu cele observate în programul malware StraitBizzare (SBZ). Pe baza contoarelor de descărcare afișate de depozitul în care este găzduit malware-ul, numărul estimat de ținte StripedFly a atins peste un milion de victime pe tot globul.
Pentru a evita să deveniți victimele unui atac țintit al unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
- Actualizați regulat sistemul de operare, aplicațiile și software-ul antivirus pentru a corecta orice vulnerabilități cunoscute.
- Fiți atenți la e-mailuri, mesaje sau apeluri care solicită informații sensibile. Verificați identitatea expeditorului înainte de a partaja orice detalii personale sau de a face click pe link-uri suspecte.
- Oferiți echipei dumneavoastră SOC acces la cele mai recente informații despre amenințări (TI).
- Oferiți echipei de securitate cibernetică posibilitatea de a aborda cele mai recente amenințări vizate cu ajutorul cursurilor online.
- Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, implementați soluții EDR.