O framework de malware StripedFly infecta 1 milhão de hospedeiros em Windows e Linux.
27 de Outubro de 2023

Uma sofisticada plataforma de malware multiplataforma chamada StripedFly passou despercebida pelos pesquisadores de segurança cibernética por cinco anos, infectando mais de um milhão de sistemas Windows e Linux durante esse tempo.

A Kaspersky descobriu a verdadeira natureza do framework malicioso no ano passado, encontrando evidências de sua atividade a partir de 2017, com o malware erroneamente classificado apenas como um minerador de criptomoeda Monero.

Os analistas descrevem o StripedFly como nada menos que impressionante, apresentando sofisticados mecanismos de ocultação de tráfego baseados em TOR, atualização automatizada a partir de plataformas confiáveis, capacidades de propagação semelhantes a um verme, e um exploit SMBv1 EternalBlue personalizado criado antes da divulgação pública da falha.

Embora não esteja claro se este framework de malware foi utilizado para geração de receita ou espionagem cibernética, a Kaspersky afirma que sua sofisticação indica que se trata de um malware APT (ameaça persistente avançada).

Com base no carimbo de hora do compilador para o malware, a primeira versão conhecida do StripedFly apresentando um exploit EternalBlue data de abril de 2016, enquanto o vazamento público pelo grupo Shadow Brokers ocorreu em agosto de 2016.

A estrutura de malware StripedFly foi descoberta pela primeira vez depois que a Kaspersky encontrou o shellcode da plataforma injetado no processo WININIT.EXE, um processo legítimo do sistema operacional Windows que lida com a inicialização de vários subsistemas.

Após investigar o código injetado, eles determinaram que ele baixa e executa arquivos adicionais, como scripts PowerShell, de serviços de hospedagem legítimos como Bitbucket, GitHub e GitLab, incluindo scripts PowerShell.

Investigações adicionais mostraram que os dispositivos infectados provavelmente foram violados pela primeira vez usando um exploit SMBv1 EternalBlue personalizado que visava computadores expostos à internet.

O payload do StripedFly (system.img) apresenta um cliente de rede TOR personalizado e leve para proteger suas comunicações de rede de interceptação, a capacidade de desabilitar o protocolo SMBv1 e se espalhar para outros dispositivos Windows e Linux na rede usando SSH e EternalBlue.

O servidor de comando e controle (C2) do malware está na rede TOR, e a comunicação com ele envolve mensagens de sinalização frequentes contendo o ID único da vítima.

Para persistência em sistemas Windows, o StripedFly ajusta seu comportamento com base no nível de privilégios em que ele é executado e na presença do PowerShell.

Sem o PowerShell, ele gera um arquivo oculto no diretório %APPDATA%. Nos casos em que o PowerShell está disponível, ele executa scripts para criar tarefas agendadas ou modificar chaves do Registro do Windows.

No Linux, o malware assume o nome 'sd-pam'. Ele atinge a persistência usando serviços systemd, um arquivo .desktop de inicialização automática, ou modificando vários arquivos de perfil e inicialização, como /etc/rc*, profile, bashrc, ou arquivos inittab.

O repositório Bitbucket que entrega o payload nos sistemas Windows indica que entre abril de 2023 e setembro de 2023, houve quase 60.000 infecções de sistemas.

Estima-se que o StripedFly tenha infectado pelo menos 220.000 sistemas Windows desde fevereiro de 2022, mas as estatísticas anteriores a essa data não estão disponíveis e o repositório foi criado em 2018.

No entanto, a Kaspersky estima que mais de 1 milhão de dispositivos foram infectados pela estrutura StripedFly.

O malware opera como um executável binário monolítico com módulos plugáveis, dando-lhe uma versatilidade operacional frequentemente associada a operações APT.

Aqui está um resumo dos módulos do StripedFly a partir do relatório da Kaspersky:

Armazenamento de configuração: Armazena a configuração do malware criptografada.

Atualização/Desinstalação: Gerencia atualizações ou remoção com base em comandos do servidor C2.

Proxy reverso: Permite ações remotas na rede da vítima.

Manipulador de comando variado: Executa comandos variados como captura de tela e execução de shellcode.

Coletor de credenciais: Varre e coleta dados sensíveis do usuário, como senhas e nomes de usuário.

Tarefas repetíveis: Realiza tarefas específicas sob certas condições, como gravação de microfone.

Módulo de reconhecimento: Envia informações detalhadas do sistema para o servidor C2.

Infector SSH: Usa credenciais SSH colhidas para penetrar em outros sistemas.

Infector SMBv1: Se infiltra em outros sistemas Windows usando um exploit EternalBlue personalizado.

Módulo de mineração de Monero: Minera Monero enquanto camuflado como um processo "chrome.exe".

A presença do minerador de criptomoeda Monero é considerada uma tentativa de desvio, com os principais objetivos dos atores da ameaça sendo o roubo de dados e a exploração do sistema facilitada pelos outros módulos.

"O payload do malware engloba múltiplos módulos, permitindo ao ator atuar como um APT, como um minerador de criptomoedas e até mesmo como um grupo de ransomware", diz o relatório da Kaspersky.

"Vale ressaltar que a criptomoeda Monero minerada por este módulo alcançou seu valor máximo de $542.33 em 9 de janeiro de 2018, em comparação com seu valor de 2017 de cerca de $10. Em 2023, ela tem mantido um valor de aproximadamente $150."

"Os especialistas da Kaspersky enfatizam que o módulo de mineração é o principal fator que permite ao malware evadir a detecção por um período prolongado."

Os pesquisadores também identificaram ligações com a variante ransomware ThunderCrypt, que utiliza o mesmo servidor C2 em "ghtyqipha6mcwxiz[.]onion:1111".

O 'módulo de tarefas repetíveis' também sugere que os invasores não identificados poderiam estar interessados na geração de receita para algumas vítimas.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...