StripedFly Malware

Experții în securitate cibernetică au descoperit o tulpină excepțional de avansată de malware numită StripedFly, necunoscută anterior comunității infosec. Acest malware a demonstrat un impact global, vizând și afectând mai mult de un milion de victime începând cu cel puțin 2017. Deghizat inițial ca un instrument de extragere a criptomonedei, s-a dovedit a fi un malware complex și versatil, cu un cadru cu multiple fațete, cu autopropagare. .

StripedFly ar putea să fi infectat peste un milion de sisteme

Cadrul de malware StripedFly a ieșit la lumină în urma detectării acestuia de către cercetători, care au identificat prezența acestuia în procesul WININIT.EXE, o componentă legitimă a sistemului de operare Windows responsabilă de inițierea diferitelor subsisteme.

După ce am explorat codul injectat, a devenit evident că StripedFly inițiază descărcarea și execuția de fișiere suplimentare, în special scripturi PowerShell, de pe platforme de găzduire legitime, cum ar fi Bitbucket, GitHub și GitLab. O analiză ulterioară a arătat că malware-ul s-a infiltrat probabil în dispozitive printr-o exploatare personalizată a vulnerabilității EternalBlue SMBv1, vizând în primul rând computerele expuse la internet.

Sarcina utilă StripedFly finală, denumită „system.img”, include un client de rețea TOR ușor proprietar pentru a-și proteja comunicațiile de rețea împotriva interceptării. De asemenea, are capacitatea de a dezactiva protocolul SMBv1 și de a se propaga pe alte dispozitive Windows și Linux din rețea folosind SSH și EternalBlue. Serverul de comandă și control (C2, C&C) pentru StripedFly funcționează în cadrul rețelei TOR, menținând comunicarea prin mesaje semnalizatoare frecvente care conțin un ID unic al victimei.

Pentru a stabili persistența pe sistemele Windows, StripedFly își adaptează abordarea pe baza nivelului de privilegii și a prezenței PowerShell. În absența PowerShell, acesta generează un fișier ascuns în directorul %APPDATA%. Când PowerShell este disponibil, malware-ul execută scripturi pentru a crea sarcini programate sau pentru a modifica cheile de registru Windows.

Pe Linux, StripedFly adoptă numele „sd-pam”. Persistența pe această platformă este obținută prin servicii systemd, pornire automată a fișierelor .desktop sau prin modificarea diferitelor fișiere de profil și de pornire, inclusiv fișiere /etc/rc*, profile, bashrc sau inittab.

Datele din depozitul Bitbucket responsabil cu livrarea încărcăturii utile în etapa finală către sistemele Windows sugerează că între aprilie 2023 și septembrie 2023, aproape 60.000 de sisteme au fost infectate de StripedFly. Cu toate acestea, cercetătorii estimează că numărul total de dispozitive afectate de cadrul StripedFly poate depăși un milion.

Numeroase module specializate găsite în programul malware StripedFly

Malware-ul este conceput ca un executabil binar unic, autonom, cu module adaptabile, oferindu-i flexibilitate operațională asociată de obicei cu operațiunile Advanced Persistent Threat (APT):

• Stocarea configurației: Acest modul stochează în siguranță configurația malware criptată.
• Actualizare/Dezinstalare: responsabil pentru gestionarea actualizărilor sau eliminării pe baza comenzilor primite de la serverul Command-and-Control (C2).
• Reverse Proxy: Activează acțiunile de la distanță în rețeaua victimei.
• Diverse comenzi de gestionare: execută diverse comenzi, inclusiv capturarea de capturi de ecran și rularea shellcode.
• Credential Harvester: Scanează și preia date sensibile ale utilizatorului, cum ar fi parolele și numele de utilizator.
• Sarcini repetabile: Efectuează sarcini specifice în condiții predefinite, cum ar fi înregistrarea audio de la microfon.
• Recon Module: Trimite informații complete despre sistem către serverul C2.
• SSH Infector: utilizează acreditările SSH culese pentru a se infiltra în alte sisteme.
• SMBv1 Infector: se propagă la alte sisteme Windows exploatând o vulnerabilitate EternalBlue personalizată.
• Modulul Mining Monero: Mine monedele criptomonede, deghându-se într-un proces „chrome.exe”.

Includerea modulului miner de criptomonede Monero este privită ca o încercare de a distrage atenția, deoarece obiectivele principale ale actorilor amenințărilor se învârt în jurul furtului de date și exploatării sistemului, facilitate de celelalte module.