StripedFly Malware

Os especialistas em segurança cibernética descobriram uma variedade excepcionalmente avançada de malware chamada StripedFly, até então desconhecida pela comunidade infosec. Este malware demonstrou um impacto global, visando e afetando mais de um milhão de vítimas desde pelo menos 2017. Inicialmente disfarçado como uma ferramenta de mineração de criptomoedas, revelou-se um malware complexo e versátil com uma estrutura multifacetada e de autopropagação. .

O StripedFly pode Ter Infectado Mais de Um Milhão de Sistemas

A estrutura do malware StripedFly veio à tona após sua detecção por pesquisadores, que identificaram sua presença no processo WININIT.EXE, um componente legítimo do sistema operacional Windows responsável por iniciar vários subsistemas.

Ao investigar o código injetado, ficou evidente que o StripedFly inicia o download e a execução de arquivos adicionais, principalmente scripts do PowerShell, de plataformas de hospedagem legítimas, como Bitbucket, GitHub e GitLab. Uma análise mais aprofundada revelou que o malware provavelmente se infiltrou nos dispositivos por meio de uma exploração personalizada da vulnerabilidade EternalBlue SMBv1, visando principalmente computadores expostos à Internet.

A carga útil final do StripedFly, chamada 'system.img', inclui um cliente de rede TOR leve e proprietário para proteger suas comunicações de rede contra interceptação. Ele também possui a capacidade de desativar o protocolo SMBv1 e propagar-se para outros dispositivos Windows e Linux na rede usando SSH e EternalBlue. O servidor de Comando e Controle (C2, C&C) do StripedFly opera dentro da rede TOR, mantendo a comunicação por meio de mensagens de beacon frequentes contendo um ID de vítima exclusivo.

Para estabelecer persistência em sistemas Windows, StripedFly adapta sua abordagem com base no nível de privilégio e na presença do PowerShell. Na ausência do PowerShell, ele gera um arquivo oculto no diretório %APPDATA%. Quando o PowerShell está disponível, o malware executa scripts para criar tarefas agendadas ou alterar as chaves do Registro do Windows.

No Linux, StripedFly adota o apelido ‘sd-pam’. A persistência nesta plataforma é obtida por meio de serviços do sistema, inicialização automática de arquivos .desktop ou modificação de vários arquivos de perfil e inicialização, incluindo arquivos /etc/rc*, profile, bashrc ou inittab.

Dados do repositório Bitbucket responsável por entregar a carga útil do estágio final aos sistemas Windows sugerem que entre abril de 2023 e setembro de 2023, quase 60.000 sistemas foram infectados pelo StripedFly. No entanto, os investigadores estimam que o número total de dispositivos afetados pela estrutura StripedFly pode exceder um milhão.

Os Numerosos Módulos Especializados Encontrados no StripedFly Malware

O malware foi projetado como um executável binário único e independente com módulos adaptáveis, proporcionando flexibilidade operacional normalmente associada a operações de ameaças persistentes avançadas (APT):

• • Armazenamento de configuração: Este módulo armazena com segurança a configuração criptografada do malware.

• • Atualização/Desinstalação: Responsável por gerenciar atualizações ou remoções com base em comandos recebidos do servidor Comando e Controle (C2).

• • Proxy reverso: Permite ações remotas na rede da vítima.

• • Manipulador de comandos diversos: Executa vários comandos, incluindo captura de capturas de tela e execução de shellcode.

• • Coletor de credenciais: Verifica e recupera dados confidenciais do usuário, como senhas e nomes de usuário.

• • Tarefas repetíveis: Executa tarefas específicas sob condições predefinidas, como gravar áudio do microfone.

• • Módulo Recon: Envia informações abrangentes do sistema para o servidor C2.

• • SSH Infector: Utiliza credenciais SSH coletadas para se infiltrar em outros sistemas.

• • Infector SMBv1: Propaga-se para outros sistemas Windows explorando uma vulnerabilidade EternalBlue personalizada.

• • Módulo de mineração Monero: Extrai a criptomoeda Monero, disfarçando-se como um processo "chrome.exe".

A inclusão do módulo minerador de criptomoeda Monero é vista como uma tentativa de desviar a atenção, já que os objetivos principais dos atores da ameaça giram em torno do roubo de dados e da exploração do sistema, facilitados pelos demais módulos.