Uma sofisticada plataforma de malware multiplataforma chamada StripedFly passou despercebida pelos pesquisadores de segurança cibernética por cinco anos, infectando mais de um milhão de sistemas Windows e Linux durante esse tempo.
A Kaspersky descobriu a verdadeira natureza do framework malicioso no ano passado, encontrando evidências de sua atividade a partir de 2017, com o malware erroneamente classificado apenas como um minerador de criptomoeda Monero.
Os analistas descrevem o StripedFly como nada menos que impressionante, apresentando sofisticados mecanismos de ocultação de tráfego baseados em TOR, atualização automatizada a partir de plataformas confiáveis, capacidades de propagação semelhantes a um verme, e um exploit SMBv1 EternalBlue personalizado criado antes da divulgação pública da falha.
Embora não esteja claro se este framework de malware foi utilizado para geração de receita ou espionagem cibernética, a Kaspersky afirma que sua sofisticação indica que se trata de um malware APT (ameaça persistente avançada).
Com base no carimbo de hora do compilador para o malware, a primeira versão conhecida do StripedFly apresentando um exploit EternalBlue data de abril de 2016, enquanto o vazamento público pelo grupo Shadow Brokers ocorreu em agosto de 2016.
A estrutura de malware StripedFly foi descoberta pela primeira vez depois que a Kaspersky encontrou o shellcode da plataforma injetado no processo WININIT.EXE, um processo legítimo do sistema operacional Windows que lida com a inicialização de vários subsistemas.
Após investigar o código injetado, eles determinaram que ele baixa e executa arquivos adicionais, como scripts PowerShell, de serviços de hospedagem legítimos como Bitbucket, GitHub e GitLab, incluindo scripts PowerShell.
Investigações adicionais mostraram que os dispositivos infectados provavelmente foram violados pela primeira vez usando um exploit SMBv1 EternalBlue personalizado que visava computadores expostos à internet.
O payload do StripedFly (system.img) apresenta um cliente de rede TOR personalizado e leve para proteger suas comunicações de rede de interceptação, a capacidade de desabilitar o protocolo SMBv1 e se espalhar para outros dispositivos Windows e Linux na rede usando SSH e EternalBlue.
O servidor de comando e controle (C2) do malware está na rede TOR, e a comunicação com ele envolve mensagens de sinalização frequentes contendo o ID único da vítima.
Para persistência em sistemas Windows, o StripedFly ajusta seu comportamento com base no nível de privilégios em que ele é executado e na presença do PowerShell.
Sem o PowerShell, ele gera um arquivo oculto no diretório %APPDATA%. Nos casos em que o PowerShell está disponível, ele executa scripts para criar tarefas agendadas ou modificar chaves do Registro do Windows.
No Linux, o malware assume o nome 'sd-pam'. Ele atinge a persistência usando serviços systemd, um arquivo .desktop de inicialização automática, ou modificando vários arquivos de perfil e inicialização, como /etc/rc*, profile, bashrc, ou arquivos inittab.
O repositório Bitbucket que entrega o payload nos sistemas Windows indica que entre abril de 2023 e setembro de 2023, houve quase 60.000 infecções de sistemas.
Estima-se que o StripedFly tenha infectado pelo menos 220.000 sistemas Windows desde fevereiro de 2022, mas as estatísticas anteriores a essa data não estão disponíveis e o repositório foi criado em 2018.
No entanto, a Kaspersky estima que mais de 1 milhão de dispositivos foram infectados pela estrutura StripedFly.
O malware opera como um executável binário monolítico com módulos plugáveis, dando-lhe uma versatilidade operacional frequentemente associada a operações APT.
Aqui está um resumo dos módulos do StripedFly a partir do relatório da Kaspersky:
Armazenamento de configuração: Armazena a configuração do malware criptografada.
Atualização/Desinstalação: Gerencia atualizações ou remoção com base em comandos do servidor C2.
Proxy reverso: Permite ações remotas na rede da vítima.
Manipulador de comando variado: Executa comandos variados como captura de tela e execução de shellcode.
Coletor de credenciais: Varre e coleta dados sensíveis do usuário, como senhas e nomes de usuário.
Tarefas repetíveis: Realiza tarefas específicas sob certas condições, como gravação de microfone.
Módulo de reconhecimento: Envia informações detalhadas do sistema para o servidor C2.
Infector SSH: Usa credenciais SSH colhidas para penetrar em outros sistemas.
Infector SMBv1: Se infiltra em outros sistemas Windows usando um exploit EternalBlue personalizado.
Módulo de mineração de Monero: Minera Monero enquanto camuflado como um processo "chrome.exe".
A presença do minerador de criptomoeda Monero é considerada uma tentativa de desvio, com os principais objetivos dos atores da ameaça sendo o roubo de dados e a exploração do sistema facilitada pelos outros módulos.
"O payload do malware engloba múltiplos módulos, permitindo ao ator atuar como um APT, como um minerador de criptomoedas e até mesmo como um grupo de ransomware", diz o relatório da Kaspersky.
"Vale ressaltar que a criptomoeda Monero minerada por este módulo alcançou seu valor máximo de $542.33 em 9 de janeiro de 2018, em comparação com seu valor de 2017 de cerca de $10. Em 2023, ela tem mantido um valor de aproximadamente $150."
"Os especialistas da Kaspersky enfatizam que o módulo de mineração é o principal fator que permite ao malware evadir a detecção por um período prolongado."
Os pesquisadores também identificaram ligações com a variante ransomware ThunderCrypt, que utiliza o mesmo servidor C2 em "ghtyqipha6mcwxiz[.]onion:1111".
O 'módulo de tarefas repetíveis' também sugere que os invasores não identificados poderiam estar interessados na geração de receita para algumas vítimas.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...