Uma sofisticada plataforma de malware multiplataforma chamada StripedFly passou despercebida pelos pesquisadores de segurança cibernética por cinco anos, infectando mais de um milhão de sistemas Windows e Linux durante esse tempo.
A Kaspersky descobriu a verdadeira natureza do framework malicioso no ano passado, encontrando evidências de sua atividade a partir de 2017, com o malware erroneamente classificado apenas como um minerador de criptomoeda Monero.
Os analistas descrevem o StripedFly como nada menos que impressionante, apresentando sofisticados mecanismos de ocultação de tráfego baseados em TOR, atualização automatizada a partir de plataformas confiáveis, capacidades de propagação semelhantes a um verme, e um exploit SMBv1 EternalBlue personalizado criado antes da divulgação pública da falha.
Embora não esteja claro se este framework de malware foi utilizado para geração de receita ou espionagem cibernética, a Kaspersky afirma que sua sofisticação indica que se trata de um malware APT (ameaça persistente avançada).
Com base no carimbo de hora do compilador para o malware, a primeira versão conhecida do StripedFly apresentando um exploit EternalBlue data de abril de 2016, enquanto o vazamento público pelo grupo Shadow Brokers ocorreu em agosto de 2016.
A estrutura de malware StripedFly foi descoberta pela primeira vez depois que a Kaspersky encontrou o shellcode da plataforma injetado no processo WININIT.EXE, um processo legítimo do sistema operacional Windows que lida com a inicialização de vários subsistemas.
Após investigar o código injetado, eles determinaram que ele baixa e executa arquivos adicionais, como scripts PowerShell, de serviços de hospedagem legítimos como Bitbucket, GitHub e GitLab, incluindo scripts PowerShell.
Investigações adicionais mostraram que os dispositivos infectados provavelmente foram violados pela primeira vez usando um exploit SMBv1 EternalBlue personalizado que visava computadores expostos à internet.
O payload do StripedFly (system.img) apresenta um cliente de rede TOR personalizado e leve para proteger suas comunicações de rede de interceptação, a capacidade de desabilitar o protocolo SMBv1 e se espalhar para outros dispositivos Windows e Linux na rede usando SSH e EternalBlue.
O servidor de comando e controle (C2) do malware está na rede TOR, e a comunicação com ele envolve mensagens de sinalização frequentes contendo o ID único da vítima.
Para persistência em sistemas Windows, o StripedFly ajusta seu comportamento com base no nível de privilégios em que ele é executado e na presença do PowerShell.
Sem o PowerShell, ele gera um arquivo oculto no diretório %APPDATA%. Nos casos em que o PowerShell está disponível, ele executa scripts para criar tarefas agendadas ou modificar chaves do Registro do Windows.
No Linux, o malware assume o nome 'sd-pam'. Ele atinge a persistência usando serviços systemd, um arquivo .desktop de inicialização automática, ou modificando vários arquivos de perfil e inicialização, como /etc/rc*, profile, bashrc, ou arquivos inittab.
O repositório Bitbucket que entrega o payload nos sistemas Windows indica que entre abril de 2023 e setembro de 2023, houve quase 60.000 infecções de sistemas.
Estima-se que o StripedFly tenha infectado pelo menos 220.000 sistemas Windows desde fevereiro de 2022, mas as estatísticas anteriores a essa data não estão disponíveis e o repositório foi criado em 2018.
No entanto, a Kaspersky estima que mais de 1 milhão de dispositivos foram infectados pela estrutura StripedFly.
O malware opera como um executável binário monolítico com módulos plugáveis, dando-lhe uma versatilidade operacional frequentemente associada a operações APT.
Aqui está um resumo dos módulos do StripedFly a partir do relatório da Kaspersky:
Armazenamento de configuração: Armazena a configuração do malware criptografada.
Atualização/Desinstalação: Gerencia atualizações ou remoção com base em comandos do servidor C2.
Proxy reverso: Permite ações remotas na rede da vítima.
Manipulador de comando variado: Executa comandos variados como captura de tela e execução de shellcode.
Coletor de credenciais: Varre e coleta dados sensíveis do usuário, como senhas e nomes de usuário.
Tarefas repetíveis: Realiza tarefas específicas sob certas condições, como gravação de microfone.
Módulo de reconhecimento: Envia informações detalhadas do sistema para o servidor C2.
Infector SSH: Usa credenciais SSH colhidas para penetrar em outros sistemas.
Infector SMBv1: Se infiltra em outros sistemas Windows usando um exploit EternalBlue personalizado.
Módulo de mineração de Monero: Minera Monero enquanto camuflado como um processo "chrome.exe".
A presença do minerador de criptomoeda Monero é considerada uma tentativa de desvio, com os principais objetivos dos atores da ameaça sendo o roubo de dados e a exploração do sistema facilitada pelos outros módulos.
"O payload do malware engloba múltiplos módulos, permitindo ao ator atuar como um APT, como um minerador de criptomoedas e até mesmo como um grupo de ransomware", diz o relatório da Kaspersky.
"Vale ressaltar que a criptomoeda Monero minerada por este módulo alcançou seu valor máximo de $542.33 em 9 de janeiro de 2018, em comparação com seu valor de 2017 de cerca de $10. Em 2023, ela tem mantido um valor de aproximadamente $150."
"Os especialistas da Kaspersky enfatizam que o módulo de mineração é o principal fator que permite ao malware evadir a detecção por um período prolongado."
Os pesquisadores também identificaram ligações com a variante ransomware ThunderCrypt, que utiliza o mesmo servidor C2 em "ghtyqipha6mcwxiz[.]onion:1111".
O 'módulo de tarefas repetíveis' também sugere que os invasores não identificados poderiam estar interessados na geração de receita para algumas vítimas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...