StripedFly Malware

సైబర్‌ సెక్యూరిటీ నిపుణులు గతంలో ఇన్ఫోసెక్ కమ్యూనిటీకి తెలియని స్ట్రిప్‌డ్‌ఫ్లై అనే అనూహ్యంగా అధునాతన మాల్‌వేర్ స్ట్రెయిన్‌ను కనుగొన్నారు. ఈ మాల్వేర్ ప్రపంచ ప్రభావాన్ని ప్రదర్శించింది, కనీసం 2017 నుండి ఒక మిలియన్ కంటే ఎక్కువ మంది బాధితులను లక్ష్యంగా చేసుకుంది మరియు ప్రభావితం చేసింది. ప్రారంభంలో క్రిప్టోకరెన్సీ మైనింగ్ సాధనంగా మారువేషంలో ఉంది, ఇది బహుముఖ, స్వీయ-ప్రచారం చేసే ఫ్రేమ్‌వర్క్‌ను కలిగి ఉన్న సంక్లిష్టమైన మరియు బహుముఖ మాల్వేర్ అని వెల్లడైంది. .

స్ట్రిప్డ్‌ఫ్లై ఒక మిలియన్ సిస్టమ్‌లకు పైగా సోకింది

StripedFly మాల్వేర్ ఫ్రేమ్‌వర్క్ పరిశోధకులచే గుర్తించబడిన తర్వాత వెలుగులోకి వచ్చింది, వారు WININIT.EXE ప్రక్రియలో దాని ఉనికిని గుర్తించారు, ఇది వివిధ ఉపవ్యవస్థలను ప్రారంభించడానికి బాధ్యత వహించే Windows OS యొక్క చట్టబద్ధమైన భాగం.

ఇంజెక్ట్ చేయబడిన కోడ్‌ను పరిశీలించిన తర్వాత, బిట్‌బకెట్, గిట్‌హబ్ మరియు గిట్‌ల్యాబ్ వంటి చట్టబద్ధమైన హోస్టింగ్ ప్లాట్‌ఫారమ్‌ల నుండి అదనపు ఫైల్‌లు, ముఖ్యంగా పవర్‌షెల్ స్క్రిప్ట్‌ల డౌన్‌లోడ్ మరియు అమలును స్ట్రైప్‌ఫ్లై ప్రారంభిస్తుందని స్పష్టమైంది. ఎటర్నల్‌బ్లూ SMBv1 దుర్బలత్వం యొక్క అనుకూలీకరించిన దోపిడీ ద్వారా మాల్వేర్ పరికరాల్లోకి చొరబడి ఉంటుందని తదుపరి విశ్లేషణ వెల్లడించింది, ప్రధానంగా ఇంటర్నెట్-బహిర్గత కంప్యూటర్‌లను లక్ష్యంగా చేసుకుంది.

'system.img' పేరుతో చివరి స్ట్రిప్డ్‌ఫ్లై పేలోడ్, దాని నెట్‌వర్క్ కమ్యూనికేషన్‌లను అంతరాయం నుండి రక్షించడానికి యాజమాన్య తేలికపాటి TOR నెట్‌వర్క్ క్లయింట్‌ను కలిగి ఉంటుంది. ఇది SMBv1 ప్రోటోకాల్‌ను నిష్క్రియం చేయగల సామర్థ్యాన్ని కూడా కలిగి ఉంది మరియు SSH మరియు EternalBlueని ఉపయోగించి నెట్‌వర్క్‌లోని ఇతర Windows మరియు Linux పరికరాలకు ప్రచారం చేస్తుంది. స్ట్రిప్డ్‌ఫ్లై కోసం కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్ TOR నెట్‌వర్క్‌లో పనిచేస్తుంది, ప్రత్యేక బాధితుల IDని కలిగి ఉన్న తరచుగా బెకన్ సందేశాల ద్వారా కమ్యూనికేషన్‌ను నిర్వహిస్తుంది.

విండోస్ సిస్టమ్‌లపై పట్టుదలను ఏర్పరచుకోవడానికి, ప్రత్యేక హక్కు స్థాయి మరియు పవర్‌షెల్ ఉనికి ఆధారంగా స్ట్రిప్డ్‌ఫ్లై దాని విధానాన్ని స్వీకరించింది. PowerShell లేనప్పుడు, ఇది %APPDATA% డైరెక్టరీలో దాచిన ఫైల్‌ను ఉత్పత్తి చేస్తుంది. PowerShell అందుబాటులో ఉన్నప్పుడు, షెడ్యూల్ చేయబడిన టాస్క్‌లను సృష్టించడానికి లేదా Windows రిజిస్ట్రీ కీలను మార్చడానికి మాల్వేర్ స్క్రిప్ట్‌లను అమలు చేస్తుంది.

లైనక్స్‌లో, స్ట్రిప్డ్‌ఫ్లై 'sd-pam' అనే మోనికర్‌ను స్వీకరించింది. ఈ ప్లాట్‌ఫారమ్‌పై పట్టుదల అనేది systemd సేవల ద్వారా, .desktop ఫైల్‌లను ఆటోస్టార్ట్ చేయడం ద్వారా లేదా /etc/rc*, ప్రొఫైల్, bashrc లేదా inittab ఫైల్‌లతో సహా వివిధ ప్రొఫైల్ మరియు స్టార్టప్ ఫైల్‌లను సవరించడం ద్వారా సాధించబడుతుంది.

Windows సిస్టమ్‌లకు చివరి దశ పేలోడ్‌ను అందించడానికి బాధ్యత వహించే Bitbucket రిపోజిటరీ నుండి డేటా ఏప్రిల్ 2023 మరియు సెప్టెంబర్ 2023 మధ్య, దాదాపు 60,000 సిస్టమ్‌లు స్ట్రిప్‌ఫ్లై ద్వారా సోకినట్లు సూచిస్తున్నాయి. అయినప్పటికీ, స్ట్రిప్డ్‌ఫ్లై ఫ్రేమ్‌వర్క్ ద్వారా ప్రభావితమైన మొత్తం పరికరాల సంఖ్య ఒక మిలియన్ కంటే ఎక్కువగా ఉంటుందని పరిశోధకులు అంచనా వేస్తున్నారు.

స్ట్రిప్డ్‌ఫ్లై మాల్వేర్‌లో అనేక ప్రత్యేక మాడ్యూల్స్ కనుగొనబడ్డాయి

మాల్వేర్ అనుకూలమైన మాడ్యూల్‌లతో ఒక సింగిల్, స్వీయ-నియంత్రణ బైనరీగా రూపొందించబడింది, ఇది సాధారణంగా అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) ఆపరేషన్‌లతో అనుబంధించబడిన కార్యాచరణ సౌలభ్యాన్ని అందిస్తుంది:

• • కాన్ఫిగరేషన్ నిల్వ: ఈ మాడ్యూల్ గుప్తీకరించిన మాల్వేర్ కాన్ఫిగరేషన్‌ను సురక్షితంగా నిల్వ చేస్తుంది.

• • అప్‌గ్రేడ్/అన్‌ఇన్‌స్టాల్ చేయండి: కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి స్వీకరించబడిన ఆదేశాల ఆధారంగా నవీకరణలను నిర్వహించడం లేదా తీసివేయడం బాధ్యత.

• • రివర్స్ ప్రాక్సీ: బాధితుల నెట్‌వర్క్‌లో రిమోట్ చర్యలను ప్రారంభిస్తుంది.

• • ఇతర కమాండ్ హ్యాండ్లర్: స్క్రీన్‌షాట్‌లను సంగ్రహించడం మరియు షెల్‌కోడ్‌ని అమలు చేయడంతో సహా వివిధ ఆదేశాలను అమలు చేస్తుంది.

• • క్రెడెన్షియల్ హార్వెస్టర్: పాస్‌వర్డ్‌లు మరియు వినియోగదారు పేర్ల వంటి సున్నితమైన వినియోగదారు డేటాను స్కాన్ చేస్తుంది మరియు తిరిగి పొందుతుంది.

• • పునరావృతమయ్యే పనులు: మైక్రోఫోన్ నుండి ఆడియోను రికార్డ్ చేయడం వంటి ముందే నిర్వచించబడిన పరిస్థితులలో నిర్దిష్ట విధులను నిర్వహిస్తుంది.

• • రీకాన్ మాడ్యూల్: C2 సర్వర్‌కు సమగ్ర సిస్టమ్ సమాచారాన్ని పంపుతుంది.

• • SSH ఇన్ఫెక్టర్: ఇతర సిస్టమ్‌లలోకి చొరబడేందుకు సేకరించిన SSH ఆధారాలను ఉపయోగిస్తుంది.

• • SMBv1 ఇన్ఫెక్టర్: కస్టమ్ ఎటర్నల్ బ్లూ వల్నరబిలిటీని ఉపయోగించడం ద్వారా ఇతర విండోస్ సిస్టమ్‌లకు ప్రచారం చేస్తుంది.

• • Monero మైనింగ్ మాడ్యూల్: గనులు Monero cryptocurrency, ఒక "chrome.exe" ప్రక్రియ వలె మారువేషంలో.

Monero క్రిప్టోకరెన్సీ మైనర్ మాడ్యూల్‌ని చేర్చడం అనేది దృష్టిని మళ్లించే ప్రయత్నంగా పరిగణించబడుతుంది, ఎందుకంటే ముప్పు నటుల ప్రాథమిక లక్ష్యాలు డేటా దొంగతనం మరియు సిస్టమ్ దోపిడీ చుట్టూ తిరుగుతాయి, ఇతర మాడ్యూల్స్ ద్వారా సులభతరం చేయబడింది.