Expertii Kaspersky au descoperit un malware StripedFly extrem de sofisticat si necunoscut anterior, cu acoperire globala, care a afectat peste un milion de victime incepand cel putin din 2017. Actionand initial ca un program de tip miner de criptomonede, s-a dovedit a fi un malware complex, cu un cadru wormable multifunctional.

In 2022, echipa globala de cercetare si analiza a Kaspersky a intalnit doua detectari neasteptate in cadrul procesului WININIT.EXE, declansate de secventele de cod care au fost observate anterior in programul malware Equation. Activitatea StripedFly a fost in desfasurare cel putin din 2017 si s-a sustras efectiv analizei anterioare, fiind clasificata anterior ca miner de criptomonede. Dupa efectuarea unei examinari cuprinzatoare a problemei, s-a descoperit ca minerul de criptomonede era doar o componenta a unei entitati mult mai mari - un cadru malitios complex, multiplatforma, multi-plugin.

Sarcina utila de malware cuprinde mai multe module, permitandu-i actorului sa functioneze ca APT, ca miner cripto si chiar ca grup de ransomware, extinzandu-si potential motivele de la castig financiar la spionaj. In special, criptomoneda Monero, extrasa de acest modul a atins valoarea maxima la 542,33 USD pe 9 ianuarie 2018, comparativ cu valoarea sa din 2017 de aproximativ 10 USD. Incepand cu 2023, a mentinut o valoare de aproximativ 150 USD. Expertii Kaspersky subliniaza ca modulul de mining este factorul principal care permite malware-ului sa evite detectarea pentru o perioada lunga de timp.

Atacatorul din spatele acestei operatiuni a dobandit capacitati extinse de a spiona clandestin victimele. Programul malware recolteaza acreditari la fiecare doua ore, furand date sensibile, cum ar fi datele de conectare ale site-ului si WIFI, impreuna cu date personale precum nume, adresa, numar de telefon, compania si titlul postului. In plus, malware-ul poate face capturi de ecran de pe dispozitivul victimei fara a fi detectat si poate obtine un control semnificativ asupra acestuia, mergand pana la activarea microfonului. 

Vectorul initial de infectie a ramas necunoscut pana cand investigatia ulterioara a Kaspersky a dezvaluit utilizarea unui exploit EternalBlue „SMBv1” personalizat pentru a se infiltra in sistemele victimelor. In ciuda dezvaluirii publice a vulnerabilitatii EternalBlue in 2017 si a lansarii ulterioare de catre Microsoft a unui patch (denumit MS17-010), amenintarea pe care o prezinta ramane semnificativa, deoarece multi utilizatori nu si-au actualizat sistemele. 

In timpul analizei tehnice a campaniei, expertii Kaspersky au observat asemanari cu malware-ul Equation. Acestea includ indicatori tehnici, precum semnaturile asociate cu malware-ul Equation, dar si stilul si practicile de codare asemanatoare cu cele observate in programul malware StraitBizzare (SBZ). Pe baza contoarelor de descarcare afisate de depozitul in care este gazduit malware-ul, numarul estimat de tinte StripedFly a atins peste un milion de victime pe tot globul. Aflati mai multe despre StripedFly pe Securelist.com.

Pentru a evita sa deveniti victimele unui atac tintit al unui actor de amenintare cunoscut sau necunoscut, cercetatorii Kaspersky recomanda implementarea urmatoarelor masuri:

    • Actualizati regulat sistemul de operare, aplicatiile si software-ul antivirus pentru a corecta orice vulnerabilitati cunoscute.
    • Fiti atenti la e-mailuri, mesaje sau apeluri care solicita informatii sensibile. Verificati identitatea expeditorului inainte de a partaja orice detalii personale sau de a face click pe link-uri suspecte.
    • Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii despre amenintari (TI). Portalul Kaspersky Threat Intelligence este un singur punct de acces pentru TI al companiei, oferind date si informatii privind atacurile cibernetice adunate de Kaspersky pe o perioada de peste 20 de ani.
    • Oferiti echipei de securitate cibernetica posibilitatea de a aborda cele mai recente amenintari vizate cu ajutorul cursurilor online Kaspersky dezvoltate de expertii GReAT.
    • Pentru detectarea la nivel endpoint, investigarea si remedierea in timp util a incidentelor, implementati solutii EDR, precum Kaspersky Endpoint Detection and Response.