Cronos Asia

StripedFly: майнер-червь со сложным кодом и возможностями для шпионажа

StripedFly: майнер-червь со сложным кодом и возможностями для шпионажа

С 2017 года жертвами StripedFly стали более миллиона пользователей по всему миру, сейчас она продолжается, хоть и менее активно. Долгое время предполагалось, что вредонос представляет собой обычный криптомайнер, но позднее выяснилось, что это сложная программа с многофункциональным работоспособным фреймворком. Об этом исследователи «Лаборатории Касперского» рассказали на Security Analyst Summit.

В 2022 году эксперты Глобального центра исследований и анализа угроз Global Research and Analysis Team (GReAT) обнаружили два новых инцидента, с использованием этого зловреда. Они были связаны с системным процессом wininit.exe в Windows. В этом процессе была обнаружена последовательность кода, которая ранее использовалась во вредоносном ПО Equation. И хотя активность найденных образцов продолжалась как минимум с 2017 года — она не была сразу досконально изучена на этапе предварительного анализа, поскольку изначально её ошибочно приняли за обычный криптомайнер. После всестороннего исследования выяснилось, что криптомайнер — это лишь часть более сложной мультиплатформенной структуры с множеством плагинов.

Множество модулей обнаруженного ВПО позволяет злоумышленникам использовать его в рамках APT-атак, как криптомайнер или даже программу-вымогатель. Соответственно, существенно расширяется список возможных мотивов злоумышленников — от извлечения финансовой выгоды до шпионажа.

Примечательно, что стоимость криптовалюты Monero, полученной с помощью вредоносного модуля, на пике 9 января 2018 года достигла $542,33. Для сравнения, в 2017 году её цена была около $10. Сейчас, в 2023 году, стоимость криптовалюты держится на уровне $150. Эксперты «Лаборатории Касперского» подчеркивают, что модуль для майнинга — это ключевой фактор, из-за которого вредоносное ПО долгое время не получалось полноценно обнаружить.

Вредоносное ПО собирает учетные данные каждые два часа: это могут быть логины и пароли для входа на веб-сайт или для подключения к WiFi, либо персональные данные человека, включая имя, адрес, номер телефона, место работы и должность. Помимо этого, вредонос может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.

Источник первичного заражения компьютера долго оставался неизвестным. Дальнейшее исследование «Лаборатории Касперского» показало, что злоумышленники используют для этого собственную реализацию эксплойта EternalBlue «SMBv1». Уязвимость EternalBlue была обнаружена еще в 2017 году, после чего компания Microsoft выпустила исправление (MS17-010). Однако угроза все еще актуальна, поскольку не все пользователи обновляют систему.

В ходе технического анализа кампании эксперты обнаружили сходство с вредоносным ПО Equation. На это указывали технические индикаторы, в том числе сигнатуры, стиль программирования, а также методы, похожие на те, что использовались во вредоносном ПО StraitBizzare (SBZ). Судя по данным, полученным со счётчика загрузок, целью StripedFly стали более миллиона пользователей по всему миру.

«Количество усилий, которые были приложены для создания этого фреймворка, поистине впечатляют. Основная сложность для специалистов в области кибербезопасности заключается в том, что злоумышленники постоянно адаптируются к меняющимся условиям. Поэтому нам, исследователям, важно объединять усилия по выявлению сложных киберугроз, а клиентам — не забывать о комплексной защите от кибератак», — комментирует Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защититься от целевых атак злоумышленников, эксперты рекомендуют:


Материалы по теме:

Злоумышленники используют новые тактики для кражи учётных записей из сетей АСУ

Большинство пользователей в мире считают недопустимой цифровую слежку за своими партнёрами

Как тонометры и кардиомониторы "сдают" конфиденциальные данные хозяина

Хакеры: Как обманывают казахстанцев в сети

"Кина не будет": как киберпреступники обманывают пользователей онлайн-кинотеатров


Любое использование материалов допускается только при наличии гиперссылки на cronos.asia.

Подписывайтесь на Telegram-канал Central Asia Cronos и первыми получайте актуальную информацию!

Exit mobile version