Zbritje me shumë licenca
Threat Database Malware StripedFly Malware

StripedFly Malware

Nga MezoMalware, Stealers
Përkthe në:
Shqip

Ekspertët e sigurisë kibernetike kanë zbuluar një lloj jashtëzakonisht të avancuar të malware të quajtur StripedFly, i panjohur më parë për komunitetin infosec. Ky malware ka demonstruar një ndikim global, duke synuar dhe prekur më shumë se një milion viktima që të paktën nga viti 2017. Fillimisht i maskuar si një mjet i minierave të kriptomonedhave, është zbuluar se është një malware kompleks dhe i gjithanshëm që përmban një kornizë shumëplanëshe, vetë-përhapëse .

StripedFly mund të ketë infektuar mbi një milion sisteme

Korniza e malware StripedFly doli në dritë pas zbulimit të tij nga studiuesit, të cilët identifikuan praninë e tij në procesin WININIT.EXE, një komponent legjitim i sistemit operativ Windows përgjegjës për inicimin e nënsistemeve të ndryshme.

Pas kërkimit në kodin e injektuar, u bë e qartë se StripedFly fillon shkarkimin dhe ekzekutimin e skedarëve shtesë, veçanërisht skriptet PowerShell, nga platformat legjitime të pritjes si Bitbucket, GitHub dhe GitLab. Analiza e mëtejshme zbuloi se malware ka të ngjarë të infiltronte pajisjet përmes një shfrytëzimi të personalizuar të cenueshmërisë EternalBlue SMBv1, duke synuar kryesisht kompjuterët e ekspozuar në internet.

Ngarkesa përfundimtare e StripedFly, e quajtur 'system.img', përfshin një klient të rrjetit TOR me peshë të lehtë të pronarit për të mbrojtur komunikimet e tij të rrjetit nga përgjimi. Ai gjithashtu posedon aftësinë për të çaktivizuar protokollin SMBv1 dhe për t'u përhapur në pajisje të tjera Windows dhe Linux në rrjet duke përdorur SSH dhe EternalBlue. Serveri Command-and-Control (C2, C&C) për StripedFly operon brenda rrjetit TOR, duke ruajtur komunikimin përmes mesazheve të shpeshta të beacon që përmbajnë një ID unike të viktimës.

Për të vendosur qëndrueshmëri në sistemet Windows, StripedFly përshtat qasjen e saj bazuar në nivelin e privilegjit dhe praninë e PowerShell. Në mungesë të PowerShell, ai gjeneron një skedar të fshehur në drejtorinë %APPDATA%. Kur PowerShell është i disponueshëm, malware ekzekuton skriptet për të krijuar detyra të planifikuara ose për të ndryshuar çelësat e Regjistrit të Windows.

Në Linux, StripedFly miraton emrin 'sd-pam'. Qëndrueshmëria në këtë platformë arrihet përmes shërbimeve systemd, nisjes automatike të skedarëve .desktop ose duke modifikuar skedarë të ndryshëm të profileve dhe nisjes, duke përfshirë skedarët /etc/rc*, profilin, bashrc ose inittab.

Të dhënat nga depoja Bitbucket përgjegjëse për dërgimin e ngarkesës së fazës përfundimtare në sistemet Windows sugjerojnë se midis prillit 2023 dhe shtatorit 2023, gati 60,000 sisteme u infektuan nga StripedFly. Megjithatë, studiuesit vlerësojnë se numri i përgjithshëm i pajisjeve të prekura nga kuadri StripedFly mund të kalojë një milion.

Module të shumta të specializuara të gjetura në malware StripedFly

Malware është projektuar si një ekzekutues binar i vetëm, i pavarur me module të adaptueshme, duke i siguruar atij fleksibilitet operacional që zakonisht lidhet me operacionet e Kërcënimit të Përparuar të Përhershëm (APT):

  • Ruajtja e konfigurimit: Ky modul ruan në mënyrë të sigurt konfigurimin e malware të koduar.
  • Përmirësimi/Çinstalimi: Përgjegjës për menaxhimin ose heqjen e përditësimeve bazuar në komandat e marra nga serveri Command-and-Control (C2).
  • Reverse Proxy: Aktivizon veprimet në distancë brenda rrjetit të viktimës.
  • Mbajtës i komandave të ndryshme: Ekzekuton komanda të ndryshme, duke përfshirë marrjen e pamjeve të ekranit dhe ekzekutimin e kodit të shell.
  • Credential Harvester: Skanon dhe rimerr të dhënat e ndjeshme të përdoruesit si fjalëkalimet dhe emrat e përdoruesve.
  • Detyra të përsëritura: Kryen detyra specifike në kushte të paracaktuara, të tilla si regjistrimi i audios nga mikrofoni.
  • Moduli Recon: Dërgon informacion gjithëpërfshirës të sistemit te serveri C2.
  • Infektuesi SSH: Përdor kredencialet e mbledhura SSH për të depërtuar në sisteme të tjera.
  • SMBv1 Infector: Përhapet në sisteme të tjera Windows duke shfrytëzuar një cenueshmëri të personalizuar EternalBlue.
  • Moduli i Minierave Monero: Minon kriptomonedhën Monero, duke u maskuar si një proces "chrome.exe".

Përfshirja e modulit të minatorit të kriptomonedhës Monero shihet si një përpjekje për të larguar vëmendjen, pasi objektivat parësorë të aktorëve të kërcënimit rrotullohen rreth vjedhjes së të dhënave dhe shfrytëzimit të sistemit, të lehtësuar nga modulet e tjera.

Në trend

Ka një pagesë të vonuar nën emrin tuaj

Fake Warning Messages
Mashtrimi "Ka një pagesë të vonuar nën emrin tënd" është një mashtrim që mund të mashtrojë një numër përdoruesish kompjuterësh që të mendojnë se kanë një lloj pagese të vonuar. Mashtrimi mund të vijë përmes emailit dhe të duket mjaft i ligjshëm pasi lexon "Ka një pagesë të vonuar nën emrin tuaj" në fushën e temës, por në pjesën e poshtme të mesazhit mund të zbulojë paligjshmërinë e tij....

Më e shikuara

Po ngarkohet...