StripedFly: un malware de tip miner care ascunde coduri sofisticate și capabilități pregătite pentru spionaj

Experții Kaspersky au descoperit un malware StripedFly extrem de sofisticat și necunoscut anterior, cu acoperire globală, care a afectat peste un milion de victime începând cel puțin din 2017. Acționând inițial ca un program de tip miner de criptomonede, s-a dovedit a fi un malware complex, cu un cadru wormable multifuncțional.

În 2022, echipa globală de cercetare și analiză a Kaspersky a întâlnit două detectări neașteptate în cadrul procesului WININIT.EXE, declanșate de secvențele de cod care au fost observate anterior în programul malware Equation. Activitatea StripedFly a fost în desfășurare cel puțin din 2017 și s-a sustras efectiv analizei anterioare, fiind clasificată anterior ca miner de criptomonede. După efectuarea unei examinări cuprinzătoare a problemei, s-a descoperit că minerul de criptomonede era doar o componentă a unei entități mult mai mari – un cadru malițios complex, multiplatformă, multi-plugin.

Sarcina utilă de malware cuprinde mai multe module, permițându-i actorului să funcționeze ca APT, ca miner cripto și chiar ca grup de ransomware, extinzându-și potențial motivele de la câștig financiar la spionaj. În special, criptomoneda Monero, extrasă de acest modul a atins valoarea maximă la 542,33 USD pe 9 ianuarie 2018, comparativ cu valoarea sa din 2017 de aproximativ 10 USD. Începând cu 2023, a menținut o valoare de aproximativ 150 USD. Experții Kaspersky subliniază că modulul de mining este factorul principal care permite malware-ului să evite detectarea pentru o perioadă lungă de timp.

Atacatorul din spatele acestei operațiuni a dobândit capacități extinse de a spiona clandestin victimele. Programul malware recoltează acreditări la fiecare două ore, furând date sensibile, cum ar fi datele de conectare ale site-ului și WIFI, împreună cu date personale precum nume, adresă, număr de telefon, compania și titlul postului. În plus, malware-ul poate face capturi de ecran de pe dispozitivul victimei fără a fi detectat și poate obține un control semnificativ asupra acestuia, mergând până la activarea microfonului.

Vectorul inițial de infecție a rămas necunoscut până când investigația ulterioară a Kaspersky a dezvăluit utilizarea unui exploit EternalBlue „SMBv1” personalizat pentru a se infiltra în sistemele victimelor. În ciuda dezvăluirii publice a vulnerabilității EternalBlue în 2017 și a lansării ulterioare de către Microsoft a unui patch (denumit MS17-010), amenințarea pe care o prezintă rămâne semnificativă, deoarece mulți utilizatori nu și-au actualizat sistemele.

În timpul analizei tehnice a campaniei, experții Kaspersky au observat asemănări cu malware-ul Equation. Acestea includ indicatori tehnici, precum semnăturile asociate cu malware-ul Equation, dar și stilul și practicile de codare asemănătoare cu cele observate în programul malware StraitBizzare (SBZ). Pe baza contoarelor de descărcare afișate de depozitul în care este găzduit malware-ul, numărul estimat de ținte StripedFly a atins peste un milion de victime pe tot globul.