Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό StripedFly

Κακόβουλο λογισμικό StripedFly

Μέχρι το Mezo το Malware, Stealers
Μετάφραση σε:
Ελληνικά

Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα εξαιρετικά προηγμένο είδος κακόβουλου λογισμικού που ονομάζεται StripedFly, που προηγουμένως ήταν άγνωστο στην κοινότητα του infosec. Αυτό το κακόβουλο λογισμικό έχει επιδείξει παγκόσμιο αντίκτυπο, στοχεύοντας και επηρεάζοντας περισσότερα από ένα εκατομμύριο θύματα από τουλάχιστον το 2017. Αρχικά μεταμφιεσμένο ως εργαλείο εξόρυξης κρυπτονομισμάτων, αποκαλύφθηκε ότι είναι ένα πολύπλοκο και ευέλικτο κακόβουλο λογισμικό που διαθέτει ένα πολύπλευρο, αυτοδιαδιδόμενο πλαίσιο .

Το StripedFly μπορεί να έχει μολύνει πάνω από ένα εκατομμύριο συστήματα

Το πλαίσιο κακόβουλου λογισμικού StripedFly ήρθε στο φως μετά τον εντοπισμό του από ερευνητές, οι οποίοι εντόπισαν την παρουσία του στη διαδικασία WININIT.EXE, ένα νόμιμο στοιχείο του λειτουργικού συστήματος Windows που είναι υπεύθυνο για την εκκίνηση διαφόρων υποσυστημάτων.

Μετά την εμβάθυνση στον κώδικα που εισήχθη, έγινε προφανές ότι το StripedFly ξεκινά τη λήψη και την εκτέλεση πρόσθετων αρχείων, ιδίως σεναρίων PowerShell, από νόμιμες πλατφόρμες φιλοξενίας όπως το Bitbucket, το GitHub και το GitLab. Περαιτέρω ανάλυση αποκάλυψε ότι το κακόβουλο λογισμικό πιθανότατα διείσδυσε σε συσκευές μέσω μιας προσαρμοσμένης εκμετάλλευσης της ευπάθειας EternalBlue SMBv1, στοχεύοντας κυρίως υπολογιστές που εκτίθενται στο διαδίκτυο.

Το τελικό ωφέλιμο φορτίο StripedFly, που ονομάζεται «system.img», περιλαμβάνει έναν ιδιόκτητο ελαφρύ πελάτη δικτύου TOR για την προστασία των επικοινωνιών του δικτύου του από υποκλοπές. Διαθέτει επίσης τη δυνατότητα να απενεργοποιεί το πρωτόκολλο SMBv1 και να διαδίδεται σε άλλες συσκευές Windows και Linux στο δίκτυο χρησιμοποιώντας SSH και EternalBlue. Ο διακομιστής Command-and-Control (C2, C&C) για το StripedFly λειτουργεί εντός του δικτύου TOR, διατηρώντας την επικοινωνία μέσω συχνών μηνυμάτων beacon που περιέχουν ένα μοναδικό αναγνωριστικό θύματος.

Για να εδραιώσει την επιμονή στα συστήματα Windows, το StripedFly προσαρμόζει την προσέγγισή του με βάση το επίπεδο προνομίων και την παρουσία του PowerShell. Ελλείψει PowerShell, δημιουργεί ένα κρυφό αρχείο στον κατάλογο %APPDATA%. Όταν το PowerShell είναι διαθέσιμο, το κακόβουλο λογισμικό εκτελεί σενάρια για τη δημιουργία προγραμματισμένων εργασιών ή την τροποποίηση των κλειδιών μητρώου των Windows.

Στο Linux, το StripedFly υιοθετεί το ψευδώνυμο 'sd-pam'. Η παραμονή σε αυτήν την πλατφόρμα επιτυγχάνεται μέσω υπηρεσιών systemd, αυτόματης εκκίνησης αρχείων .desktop ή με τροποποίηση διαφόρων προφίλ και αρχείων εκκίνησης, συμπεριλαμβανομένων των αρχείων /etc/rc*, προφίλ, bashrc ή inittab.

Τα δεδομένα από το αποθετήριο Bitbucket που είναι υπεύθυνο για την παράδοση του ωφέλιμου φορτίου τελικού σταδίου στα συστήματα Windows υποδηλώνουν ότι μεταξύ Απριλίου 2023 και Σεπτεμβρίου 2023, σχεδόν 60.000 συστήματα μολύνθηκαν από το StripedFly. Ωστόσο, οι ερευνητές εκτιμούν ότι ο συνολικός αριθμός συσκευών που επηρεάζονται από το πλαίσιο StripedFly μπορεί να ξεπεράσει το ένα εκατομμύριο.

Πολυάριθμες εξειδικευμένες ενότητες που βρέθηκαν στο κακόβουλο λογισμικό The StripedFly

Το κακόβουλο λογισμικό έχει σχεδιαστεί ως ένα ενιαίο, αυτόνομο δυαδικό εκτελέσιμο αρχείο με προσαρμόσιμες μονάδες, παρέχοντάς του λειτουργική ευελιξία που συνήθως σχετίζεται με λειτουργίες Advanced Persistent Threat (APT):

  • Αποθήκευση διαμόρφωσης: Αυτή η λειτουργική μονάδα αποθηκεύει με ασφάλεια τη διαμόρφωση κρυπτογραφημένου κακόβουλου λογισμικού.
  • Αναβάθμιση/Απεγκατάσταση: Υπεύθυνος για τη διαχείριση ενημερώσεων ή την αφαίρεση βάσει εντολών που λαμβάνονται από τον διακομιστή Command-and-Control (C2).
  • Reverse Proxy: Ενεργοποιεί απομακρυσμένες ενέργειες εντός του δικτύου του θύματος.
  • Διάφορα χειριστήρια εντολών: Εκτελεί διάφορες εντολές, συμπεριλαμβανομένης της λήψης στιγμιότυπων οθόνης και της εκτέλεσης του shellcode.
  • Credential Harvester: Σαρώνει και ανακτά ευαίσθητα δεδομένα χρήστη, όπως κωδικούς πρόσβασης και ονόματα χρήστη.
  • Επαναλαμβανόμενες εργασίες: Εκτελεί συγκεκριμένες εργασίες υπό προκαθορισμένες συνθήκες, όπως η εγγραφή ήχου από το μικρόφωνο.
  • Recon Module: Στέλνει ολοκληρωμένες πληροφορίες συστήματος στον διακομιστή C2.
  • SSH Infector: Χρησιμοποιεί συγκομιδή διαπιστευτηρίων SSH για διείσδυση σε άλλα συστήματα.
  • SMBv1 Infector: Διαδίδεται σε άλλα συστήματα Windows εκμεταλλευόμενος μια προσαρμοσμένη ευπάθεια EternalBlue.
  • Μονάδα εξόρυξης Monero: Εξορύσσει το κρυπτονόμισμα Monero, μεταμφιεσμένο σε διαδικασία "chrome.exe".

Η συμπερίληψη της μονάδας εξόρυξης κρυπτονομισμάτων Monero θεωρείται ως μια προσπάθεια εκτροπής της προσοχής, καθώς οι πρωταρχικοί στόχοι των παραγόντων απειλής περιστρέφονται γύρω από την κλοπή δεδομένων και την εκμετάλλευση του συστήματος, που διευκολύνονται από τις άλλες ενότητες.

Τάσεις

Υπάρχει εκπρόθεσμη πληρωμή στο όνομά σας

Fake Warning Messages
Η απάτη "Υπάρχει ληξιπρόθεσμη πληρωμή υπό το όνομά σας" είναι μια απάτη που μπορεί να παραπλανήσει ορισμένους χρήστες υπολογιστών ώστε να πιστεύουν ότι έχουν κάποιου είδους καθυστερημένη πληρωμή. Η απάτη μπορεί να προέρχεται μέσω email και να φαίνεται μάλλον νόμιμη καθώς γράφει "Υπάρχει καθυστέρηση πληρωμής κάτω από το όνομά σας" στο πεδίο θέματος, αλλά στο σώμα του μηνύματος μπορεί να...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
19,863
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...