Uma cepa avançada de malware disfarçada de mineradora de criptomoeda conseguiu passar despercebida por mais de cinco anos, infectando nada menos que um milhão de dispositivos em todo o mundo no processo.
Isso é de acordo com as descobertas da Kaspersky, que nomeou a ameaça de StripedFly, descrevendo-a como uma "estrutura modular intrincada que suporta Linux e Windows."
O fornecedor de segurança cibernética russo, que detectou as amostras em 2017, disse que o minerador faz parte de uma entidade muito maior que emprega um exploit SMBv1 EternalBlue personalizado atribuído ao Equation Group para infiltrar sistemas publicamente acessíveis.
O shellcode malicioso, entregue através do exploit, tem a capacidade de baixar arquivos binários de um repositório remoto do Bitbucket, bem como executar scripts do PowerShell.
Ele também suporta uma coleção de recursos expansíveis semelhantes a plugins para colher dados sensíveis e até se desinstalar.
O shellcode da plataforma é injetado no processo wininit.exe, um processo legítimo do Windows que é iniciado pelo gerenciador de inicialização (BOOTMGR) e lida com a inicialização de vários serviços.
"O payload do malware é estruturada como um código executável binário monolítico projetado para suportar módulos plugáveis para estender ou atualizar sua funcionalidade", disseram os pesquisadores de segurança Sergey Belov, Vilen Kamalov e Sergey Lozhkin em um relatório técnico publicado na semana passada.
"Ele vem equipado com um túnel de rede TOR incorporado para comunicação com servidores de comando, juntamente com funcionalidade de atualização e entrega através de serviços confiáveis, como GitLab, GitHub e Bitbucket, todos usando arquivos criptografados personalizados.
Outros módulos de espionagem notáveis permitem que ele colete credenciais a cada duas horas, capture screenshots no dispositivo da vítima sem detecção, grave a entrada do microfone e inicie um proxy reverso para executar ações remotas.
Após obter uma posição bem-sucedida, o malware procede para desativar o protocolo SMBv1 no host infectado e propagar o malware para outras máquinas usando um módulo verme via SMB e SSH, usando chaves colhidas nos sistemas hackeados.
StripedFly consegue persistência modificando o Registro do Windows ou criando entradas do agendador de tarefas se o interpretador PowerShell estiver instalado e o acesso administrativo estiver disponível.
No Linux, a persistência é alcançada por meio de um serviço de usuário systemd, arquivo .desktop autostart ou modificando os arquivos /etc/rc*, profile, bashrc ou inittab.
Também é baixado um minerador de criptomoeda Monero que aproveita as solicitações DNS por HTTPS (DoH) para resolver os servidores de pool, adicionando uma camada extra de discrição às atividades maliciosas.
Avaliou-se que o minerador é usado como um chamariz para impedir que o software de segurança descubra a totalidade das capacidades do malware.
Na tentativa de minimizar a presença, os componentes do malware que podem ser descarregados são hospedados como binários criptografados em vários serviços de hospedagem de repositório de código como Bitbucket, GitHub ou GitLab.
Por exemplo, o repositório Bitbucket operado pelo ator da ameaça desde junho de 2018 inclui arquivos executáveis capazes de servir o payload de infecção inicial em Windows e Linux, verificar novas atualizações e, por fim, atualizar o malware.
A comunicação com o servidor de comando e controle (C2), que é hospedado na rede TOR, ocorre usando uma implementação personalizada e leve de um cliente TOR que não se baseia em nenhum método documentado publicamente.
"O nível de dedicação demonstrado por essa funcionalidade é notável", disseram os pesquisadores.
"O objetivo de esconder o servidor C2 a todo custo levou ao desenvolvimento de um projeto único e demorado - a criação de seu próprio cliente TOR."
Outra característica notável é que esses repositórios atuam como mecanismos de fallback para o malware baixar os arquivos de atualização quando sua fonte principal (ou seja, o servidor C2) fica inoperante.
A Kaspersky disse que descobriu ainda uma família de ransomware chamada ThunderCrypt que compartilha sobreposições significativas de código-fonte com StripedFly, com a exceção da ausência do módulo de infecção SMBv1.
ThunderCrypt é dito ter sido usado contra alvos em Taiwan em 2017.
As origens de StripedFly permanecem desconhecidas, embora a sofisticação do framework e suas paralelas com EternalBlue apresentem todas as características de um ator de ameaça persistente avançada (APT).
Vale ressaltar que, enquanto o vazamento do exploit EternalBlue pelos Shadow Brokers ocorreu em 14 de abril de 2017, a primeira versão identificada de StripedFly incorporando EternalBlue data de um ano atrás, em 9 de abril de 2016.
Desde o vazamento, o exploit EternalBlue foi reutilizado por grupos de hackers da Coreia do Norte e da Rússia para espalhar os malwares WannaCry e Petya.
Dito isto, também há evidências de que grupos de hackers chineses podem ter tido acesso a alguns dos exploits do Grupo de Equações antes de serem vazados online, conforme divulgado pela Check Point em fevereiro de 2021.
As semelhanças com malware associado ao Equation group, disse a Kaspersky, também se refletem no estilo de codificação e práticas semelhantes às vistas em STRAITBIZARRE (SBZ), outra plataforma de espionagem cibernética empunhada pelo suposto coletivo adversário dos EUA.
O desenvolvimento ocorre quase dois anos após pesquisadores do Pangu Lab da China detalharem um backdoor "top-tier" chamado Bvp47 que supostamente foi usado pelo Equation Group em mais de 287 alvos de vários setores em 45 países.
Não é preciso dizer que um aspecto crucial da campanha que continua a ser um mistério - além daqueles que projetaram o malware - é seu verdadeiro propósito.
"Embora o ransomware ThunderCrypt sugira um motivo comercial para seus autores, levanta a questão de por que eles não optaram pelo caminho potencialmente mais lucrativo", disseram os pesquisadores.
"É difícil aceitar a ideia de que um malware tão sofisticado e profissionalmente projetado serviria a um propósito tão trivial, dado todas as evidências em contrário."
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...