Malware StripedFly

Gli esperti di sicurezza informatica hanno scoperto un ceppo di malware eccezionalmente avanzato chiamato StripedFly, precedentemente sconosciuto alla comunità infosec. Questo malware ha dimostrato un impatto globale, prendendo di mira e colpendo più di un milione di vittime almeno dal 2017. Inizialmente mascherato da strumento di mining di criptovaluta, si è rivelato essere un malware complesso e versatile caratterizzato da un framework multiforme e autopropagante. .

StripedFly potrebbe aver infettato oltre un milione di sistemi

Il framework malware StripedFly è venuto alla luce in seguito al rilevamento da parte dei ricercatori, che ne hanno identificato la presenza nel processo WININIT.EXE, un componente legittimo del sistema operativo Windows responsabile dell'avvio di vari sottosistemi.

Analizzando il codice inserito, è diventato evidente che StripedFly avvia il download e l'esecuzione di file aggiuntivi, in particolare script PowerShell, da piattaforme di hosting legittime come Bitbucket, GitHub e GitLab. Ulteriori analisi hanno rivelato che il malware probabilmente si è infiltrato nei dispositivi attraverso un exploit personalizzato della vulnerabilità EternalBlue SMBv1, prendendo di mira principalmente i computer esposti a Internet.

Il payload finale di StripedFly, denominato "system.img", include un client di rete TOR leggero e proprietario per salvaguardare le comunicazioni di rete dalle intercettazioni. Possiede inoltre la capacità di disattivare il protocollo SMBv1 e propagarsi ad altri dispositivi Windows e Linux sulla rete utilizzando SSH ed EternalBlue. Il server Command-and-Control (C2, C&C) per StripedFly opera all'interno della rete TOR, mantenendo la comunicazione attraverso frequenti messaggi beacon contenenti un ID vittima univoco.

Per stabilire la persistenza sui sistemi Windows, StripedFly adatta il suo approccio in base al livello di privilegio e alla presenza di PowerShell. In assenza di PowerShell, genera un file nascosto nella directory %APPDATA%. Quando PowerShell è disponibile, il malware esegue script per creare attività pianificate o alterare le chiavi del registro di Windows.

Su Linux, StripedFly adotta il soprannome di "sd-pam". La persistenza su questa piattaforma si ottiene tramite i servizi systemd, l'avvio automatico dei file .desktop o la modifica di vari file di profilo e di avvio, inclusi i file /etc/rc*, profile, bashrc o inittab.

I dati del repository Bitbucket responsabile della distribuzione del payload della fase finale ai sistemi Windows suggeriscono che tra aprile 2023 e settembre 2023, quasi 60.000 sistemi sono stati infettati da StripedFly. Tuttavia, i ricercatori stimano che il numero totale di dispositivi interessati dal framework StripedFly potrebbe superare il milione.

Numerosi moduli specializzati presenti nel malware StripedFly

Il malware è progettato come un singolo eseguibile binario autonomo con moduli adattabili, che gli fornisce la flessibilità operativa tipicamente associata alle operazioni Advanced Persistent Threat (APT):

• • Archiviazione della configurazione: questo modulo archivia in modo sicuro la configurazione del malware crittografato.

• • Aggiornamento/Disinstallazione: responsabile della gestione degli aggiornamenti o della rimozione in base ai comandi ricevuti dal server Command-and-Control (C2).

• • Proxy inverso: consente azioni remote all'interno della rete della vittima.

• • Gestore comandi vari: esegue vari comandi, inclusa l'acquisizione di schermate e l'esecuzione di shellcode.

• • Credential Harvester: analizza e recupera dati utente sensibili come password e nomi utente.

• • Attività ripetibili: esegue attività specifiche in condizioni predefinite, come la registrazione dell'audio dal microfono.

• • Modulo di ricognizione: invia informazioni di sistema complete al server C2.

• • SSH Infector: utilizza le credenziali SSH raccolte per infiltrarsi in altri sistemi.

• • Infettore SMBv1: si propaga ad altri sistemi Windows sfruttando una vulnerabilità EternalBlue personalizzata.

• • Modulo di mining Monero: estrae la criptovaluta Monero, mascherandosi da processo "chrome.exe".

L'inclusione del modulo miner di criptovaluta Monero è vista come un tentativo di distogliere l'attenzione, poiché gli obiettivi principali degli autori delle minacce ruotano attorno al furto di dati e allo sfruttamento del sistema, facilitato dagli altri moduli.