LOADING

Type to search

FEATURED STIRI TECH

StripedFly: un malware de tip miner care ascunde coduri sofisticate și capabilități pregătite pentru spionaj

Share

Experții Kaspersky au descoperit un malware StripedFly extrem de sofisticat și necunoscut anterior, cu acoperire globală, care a afectat peste un milion de victime începând cel puțin din 2017. Acționând inițial ca un program de tip miner de criptomonede, s-a dovedit a fi un malware complex, cu un cadru wormable multifuncțional.

În 2022, echipa globală de cercetare și analiză a Kaspersky a întâlnit două detectări neașteptate în cadrul procesului WININIT.EXE, declanșate de secvențele de cod care au fost observate anterior în programul malware Equation. Activitatea StripedFly a fost în desfășurare cel puțin din 2017 și s-a sustras efectiv analizei anterioare, fiind clasificată anterior ca miner de criptomonede. După efectuarea unei examinări cuprinzătoare a problemei, s-a descoperit că minerul de criptomonede era doar o componentă a unei entități mult mai mari – un cadru malițios complex, multiplatformă, multi-plugin.

Sarcina utilă de malware cuprinde mai multe module, permițându-i actorului să funcționeze ca APT, ca miner cripto și chiar ca grup de ransomware, extinzându-și potențial motivele de la câștig financiar la spionaj. În special, criptomoneda Monero, extrasă de acest modul a atins valoarea maximă la 542,33 USD pe 9 ianuarie 2018, comparativ cu valoarea sa din 2017 de aproximativ 10 USD. Începând cu 2023, a menținut o valoare de aproximativ 150 USD. Experții Kaspersky subliniază că modulul de mining este factorul principal care permite malware-ului să evite detectarea pentru o perioadă lungă de timp.

Atacatorul din spatele acestei operațiuni a dobândit capacități extinse de a spiona clandestin victimele. Programul malware recoltează acreditări la fiecare două ore, furând date sensibile, cum ar fi datele de conectare ale site-ului și WIFI, împreună cu date personale precum nume, adresă, număr de telefon, compania și titlul postului. În plus, malware-ul poate face capturi de ecran de pe dispozitivul victimei fără a fi detectat și poate obține un control semnificativ asupra acestuia, mergând până la activarea microfonului.

Vectorul inițial de infecție a rămas necunoscut până când investigația ulterioară a Kaspersky a dezvăluit utilizarea unui exploit EternalBlue „SMBv1” personalizat pentru a se infiltra în sistemele victimelor. În ciuda dezvăluirii publice a vulnerabilității EternalBlue în 2017 și a lansării ulterioare de către Microsoft a unui patch (denumit MS17-010), amenințarea pe care o prezintă rămâne semnificativă, deoarece mulți utilizatori nu și-au actualizat sistemele.

În timpul analizei tehnice a campaniei, experții Kaspersky au observat asemănări cu malware-ul Equation. Acestea includ indicatori tehnici, precum semnăturile asociate cu malware-ul Equation, dar și stilul și practicile de codare asemănătoare cu cele observate în programul malware StraitBizzare (SBZ). Pe baza contoarelor de descărcare afișate de depozitul în care este găzduit malware-ul, numărul estimat de ținte StripedFly a atins peste un milion de victime pe tot globul.

Tags:

Leave a Comment