Giảm giá nhiều giấy phép
Threat Database Malware StripedFly Malware

StripedFly Malware

Đến năm Mezo năm Malware, Stealers
Dịch sang:
Tiếng Việt Nam

Các chuyên gia an ninh mạng đã phát hiện ra một loại phần mềm độc hại đặc biệt tiên tiến có tên StripedFly, trước đây cộng đồng infosec chưa biết đến. Phần mềm độc hại này đã chứng tỏ tác động toàn cầu, nhắm mục tiêu và ảnh hưởng đến hơn một triệu nạn nhân kể từ ít nhất năm 2017. Ban đầu được ngụy trang dưới dạng một công cụ khai thác tiền điện tử, nó đã được tiết lộ là một phần mềm độc hại phức tạp và linh hoạt có khuôn khổ tự lan truyền đa diện. .

StripedFly có thể đã lây nhiễm hơn một triệu hệ thống

Khung phần mềm độc hại StripedFly được phát hiện sau khi các nhà nghiên cứu phát hiện ra nó, họ đã xác định được sự hiện diện của nó trong quy trình WININIT.EXE, một thành phần hợp pháp của HĐH Windows chịu trách nhiệm khởi tạo các hệ thống con khác nhau.

Khi đi sâu vào mã được chèn, có bằng chứng cho thấy StripedFly bắt đầu tải xuống và thực thi các tệp bổ sung, đặc biệt là các tập lệnh PowerShell, từ các nền tảng lưu trữ hợp pháp như Bitbucket, GitHub và GitLab. Phân tích sâu hơn cho thấy phần mềm độc hại có khả năng xâm nhập vào các thiết bị thông qua khai thác tùy chỉnh lỗ hổng EternalBlue SMBv1, chủ yếu nhắm mục tiêu vào các máy tính có kết nối Internet.

Tải trọng cuối cùng của StripedFly, có tên là 'system.img', bao gồm một ứng dụng khách mạng TOR nhẹ độc quyền để bảo vệ thông tin liên lạc mạng của nó khỏi bị chặn. Nó cũng có khả năng hủy kích hoạt giao thức SMBv1 và tự lan truyền đến các thiết bị Windows và Linux khác trên mạng bằng SSH và EternalBlue. Máy chủ Chỉ huy và Kiểm soát (C2, C&C) cho StripedFly hoạt động trong mạng TOR, duy trì liên lạc thông qua các tin nhắn báo hiệu thường xuyên có chứa ID nạn nhân duy nhất.

Để thiết lập tính bền vững trên hệ thống Windows, StripedFly điều chỉnh cách tiếp cận của mình dựa trên cấp đặc quyền và sự hiện diện của PowerShell. Trong trường hợp không có PowerShell, nó sẽ tạo một tệp bị ẩn trong thư mục %APPDATA%. Khi có PowerShell, phần mềm độc hại sẽ thực thi các tập lệnh để tạo các tác vụ theo lịch trình hoặc thay đổi các khóa Sổ đăng ký Windows.

Trên Linux, StripedFly sử dụng biệt danh 'sd-pam.' Sự bền bỉ trên nền tảng này đạt được thông qua các dịch vụ systemd, tự khởi động các tệp .desktop hoặc bằng cách sửa đổi các tệp khởi động và cấu hình khác nhau, bao gồm các tệp /etc/rc*, profile, bashrc hoặc inittab.

Dữ liệu từ kho lưu trữ Bitbucket chịu trách nhiệm phân phối tải trọng giai đoạn cuối cho các hệ thống Windows cho thấy rằng từ tháng 4 năm 2023 đến tháng 9 năm 2023, gần 60.000 hệ thống đã bị lây nhiễm bởi StripedFly. Tuy nhiên, các nhà nghiên cứu ước tính rằng tổng số thiết bị bị ảnh hưởng bởi khung StripedFly có thể vượt quá một triệu.

Nhiều mô-đun chuyên dụng được tìm thấy trong phần mềm độc hại StripedFly

Phần mềm độc hại được thiết kế dưới dạng một tệp thực thi nhị phân độc lập, duy nhất với các mô-đun có thể thích ứng, cung cấp cho nó tính linh hoạt trong hoạt động thường liên quan đến các hoạt động Đe dọa liên tục nâng cao (APT):

    • Lưu trữ cấu hình: Mô-đun này lưu trữ an toàn cấu hình phần mềm độc hại được mã hóa.
    • Nâng cấp/Gỡ cài đặt: Chịu trách nhiệm quản lý các bản cập nhật hoặc xóa dựa trên các lệnh nhận được từ máy chủ Lệnh và Kiểm soát (C2).
    • Reverse Proxy: Cho phép thực hiện các hành động từ xa trong mạng của nạn nhân.
    • Trình xử lý lệnh khác: Thực thi các lệnh khác nhau, bao gồm chụp ảnh màn hình và chạy shellcode.
    • Trình thu thập thông tin xác thực: Quét và truy xuất dữ liệu nhạy cảm của người dùng như mật khẩu và tên người dùng.
    • Tác vụ lặp lại: Thực hiện các tác vụ cụ thể trong các điều kiện được xác định trước, chẳng hạn như ghi âm thanh từ micrô.
    • Mô-đun Recon: Gửi thông tin hệ thống toàn diện đến máy chủ C2.
    • SSH Infector: Sử dụng thông tin đăng nhập SSH đã thu thập được để xâm nhập vào các hệ thống khác.
    • Kẻ lây nhiễm SMBv1: Lan truyền sang các hệ thống Windows khác bằng cách khai thác lỗ hổng EternalBlue tùy chỉnh.
    • Mô-đun khai thác Monero: Khai thác tiền điện tử Monero, ngụy trang dưới dạng quy trình "chrome.exe".

Việc đưa vào mô-đun khai thác tiền điện tử Monero được coi là một nỗ lực nhằm chuyển hướng sự chú ý, vì mục tiêu chính của các tác nhân đe dọa xoay quanh việc đánh cắp dữ liệu và khai thác hệ thống, được hỗ trợ bởi các mô-đun khác.

 

xu hướng

Có một khoản thanh toán quá hạn dưới tên của bạn

Fake Warning Messages
Lừa đảo "Có một khoản thanh toán quá hạn dưới tên của bạn" là một trò lừa đảo có thể đánh lừa một số người dùng máy tính nghĩ rằng họ có một khoản thanh toán quá hạn nào đó. Trò lừa đảo có thể đến qua email và trông khá hợp pháp ở chỗ nó có nội dung "Có một khoản thanh toán quá hạn dưới tên của bạn" trong trường chủ đề nhưng trong phần nội dung thư, nó có thể tiết lộ sự bất hợp pháp của nó....

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
19,863
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...