Un malware StripedFly extrem de sofisticat și necunoscut anterior, cu acoperire globală, care a afectat peste un milion de victime începând cel puțin din 2017, a fost descoperit de Kaspersky.
Acționând inițial ca un program de tip miner de criptomonede, s-a dovedit a fi un malware complex, cu un cadru wormable multifuncțional.
În 2022, echipa globală de cercetare și analiză a Kaspersky a întâlnit două detectări neașteptate în cadrul procesului WININIT.EXE, declanșate de secvențele de cod care au fost observate anterior în programul malware Equation. Activitatea StripedFly a fost în desfășurare cel puțin din 2017 și s-a sustras efectiv analizei anterioare, fiind clasificată anterior ca miner de criptomonede. După efectuarea unei examinări cuprinzătoare a problemei, s-a descoperit că minerul de criptomonede era doar o componentă a unei entități mult mai mari – un cadru malițios complex, multiplatformă, multi-plugin.
Sarcina utilă de malware cuprinde mai multe module, permițându-i actorului să funcționeze ca APT, ca miner cripto și chiar ca grup de ransomware, extinzându-și potențial motivele de la câștig financiar la spionaj. În special, criptomoneda Monero, extrasă de acest modul a atins valoarea maximă la 542,33 USD pe 9 ianuarie 2018, comparativ cu valoarea sa din 2017 de aproximativ 10 USD. Începând cu 2023, a menținut o valoare de aproximativ 150 USD. Experții Kaspersky subliniază că modulul de mining este factorul principal care permite malware-ului să evite detectarea pentru o perioadă lungă de timp.
Atacatorul din spatele acestei operațiuni a dobândit capacități extinse de a spiona clandestin victimele. Programul malware recoltează acreditări la fiecare două ore, furând date sensibile, cum ar fi datele de conectare ale site-ului și WIFI, împreună cu date personale precum nume, adresă, număr de telefon, compania și titlul postului. În plus, malware-ul poate face capturi de ecran de pe dispozitivul victimei fără a fi detectat și poate obține un control semnificativ asupra acestuia, mergând până la activarea microfonului.
Vectorul inițial de infecție a rămas necunoscut până când investigația ulterioară a Kaspersky a dezvăluit utilizarea unui exploit EternalBlue „SMBv1” personalizat pentru a se infiltra în sistemele victimelor. În ciuda dezvăluirii publice a vulnerabilității EternalBlue în 2017 și a lansării ulterioare de către Microsoft a unui patch (denumit MS17-010), amenințarea pe care o prezintă rămâne semnificativă, deoarece mulți utilizatori nu și-au actualizat sistemele.
În timpul analizei tehnice a campaniei, experții Kaspersky au observat asemănări cu malware-ul Equation. Acestea includ indicatori tehnici, precum semnăturile asociate cu malware-ul Equation, dar și stilul și practicile de codare asemănătoare cu cele observate în programul malware StraitBizzare (SBZ). Pe baza contoarelor de descărcare afișate de depozitul în care este găzduit malware-ul, numărul estimat de ținte StripedFly a atins peste un milion de victime pe tot globul.
Aflați mai multe despre StripedFly pe Securelist.com.
Pentru a evita să deveniți victimele unui atac țintit al unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
- Actualizați regulat sistemul de operare, aplicațiile și software-ul antivirus pentru a corecta orice vulnerabilități cunoscute.
- Fiți atenți la e-mailuri, mesaje sau apeluri care solicită informații sensibile. Verificați identitatea expeditorului înainte de a partaja orice detalii personale sau de a face click pe link-uri suspecte.
- Oferiți echipei dumneavoastră SOC acces la cele mai recente informații despre amenințări (TI). Portalul Kaspersky Threat Intelligence este un singur punct de acces pentru TI al companiei, oferind date și informații privind atacurile cibernetice adunate de Kaspersky pe o perioadă de peste 20 de ani.
- Oferiți echipei de securitate cibernetică posibilitatea de a aborda cele mai recente amenințări vizate cu ajutorul cursurilor online Kaspersky dezvoltate de experții GReAT.
- Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, implementați soluții EDR, precum Kaspersky Endpoint Detection and Response.
News4IT 