Programari maliciós StripedFly

Els experts en ciberseguretat han descobert una varietat de programari maliciós excepcionalment avançada anomenada StripedFly, desconeguda anteriorment per a la comunitat infosec. Aquest programari maliciós ha demostrat un impacte global, orientat i afectant a més d'un milió de víctimes des d'almenys el 2017. Inicialment disfressat com una eina de mineria de criptomoneda, s'ha revelat que és un programari maliciós complex i versàtil amb un marc multifacètic que s'autopropaga. .

StripedFly pot haver infectat més d'un milió de sistemes

El marc de programari maliciós StripedFly va sortir a la llum després de la seva detecció per part dels investigadors, que van identificar la seva presència al procés WININIT.EXE, un component legítim del sistema operatiu Windows responsable d'iniciar diversos subsistemes.

En aprofundir en el codi injectat, es va fer evident que StripedFly inicia la descàrrega i l'execució de fitxers addicionals, sobretot scripts de PowerShell, des de plataformes d'allotjament legítimes com Bitbucket, GitHub i GitLab. Una anàlisi addicional va revelar que el programari maliciós probablement es va infiltrar en dispositius mitjançant una explotació personalitzada de la vulnerabilitat EternalBlue SMBv1, dirigida principalment a ordinadors exposats a Internet.

La càrrega útil final de StripedFly, anomenada 'system.img', inclou un client de xarxa TOR lleuger patentat per protegir les seves comunicacions de xarxa de la intercepció. També té la capacitat de desactivar el protocol SMBv1 i propagar-se a altres dispositius Windows i Linux de la xarxa mitjançant SSH i EternalBlue. El servidor de comandament i control (C2, C&C) per a StripedFly funciona dins de la xarxa TOR, mantenint la comunicació mitjançant missatges de balisa freqüents que contenen un identificador de víctima únic.

Per establir la persistència als sistemes Windows, StripedFly adapta el seu enfocament en funció del nivell de privilegis i la presència de PowerShell. En absència de PowerShell, genera un fitxer ocult al directori %APPDATA%. Quan PowerShell està disponible, el programari maliciós executa scripts per crear tasques programades o modificar les claus del registre de Windows.

A Linux, StripedFly adopta el sobrenom 'sd-pam'. La persistència en aquesta plataforma s'aconsegueix mitjançant serveis systemd, fitxers .desktop d'inici automàtic o modificant diversos fitxers de perfil i d'inici, inclosos els fitxers /etc/rc*, profile, bashrc o inittab.

Les dades del dipòsit de Bitbucket encarregat de lliurar la càrrega útil de la fase final als sistemes Windows suggereixen que entre l'abril de 2023 i el setembre de 2023, prop de 60.000 sistemes van ser infectats per StripedFly. Tanmateix, els investigadors estimen que el nombre total de dispositius afectats pel marc StripedFly pot superar el milió.

Nombrosos mòduls especialitzats trobats al programari maliciós StripedFly

El programari maliciós està dissenyat com un executable binari únic i autònom amb mòduls adaptables, que li proporciona flexibilitat operativa associada normalment a les operacions d'amenaça persistent avançada (APT):

• • Emmagatzematge de configuració: aquest mòdul emmagatzema de forma segura la configuració de programari maliciós xifrat.

• • Actualització/Desinstal·lació: Responsable de gestionar les actualitzacions o l'eliminació en funció de les ordres rebudes del servidor Command-and-Control (C2).

• • Proxy invers: permet accions remotes dins de la xarxa de la víctima.

• • Gestor d'ordres diversos: executa diverses ordres, inclosa la captura de captures de pantalla i l'execució de codi de comandament.

• • Recollidor de credencials: escaneja i recupera dades sensibles dels usuaris, com ara contrasenyes i noms d'usuari.

• • Tasques repetibles: realitza tasques específiques en condicions predefinides, com ara gravar àudio des del micròfon.

• • Mòdul de reconeixement: envia informació completa del sistema al servidor C2.

• • SSH Infector: utilitza credencials SSH collides per infiltrar-se en altres sistemes.

• • SMBv1 Infector: es propaga a altres sistemes Windows mitjançant l'explotació d'una vulnerabilitat personalitzada EternalBlue.

• • Mòdul de mineria de Monero: mina la criptomoneda Monero, disfressant-se com un procés "chrome.exe".

La inclusió del mòdul de miner de criptomoneda de Monero es veu com un intent de desviar l'atenció, ja que els objectius principals dels actors de l'amenaça giren al voltant del robatori de dades i l'explotació del sistema, facilitat pels altres mòduls.