Kaspersky ontdekt StripedFly miner die geavanceerde code verbergt

Kaspersky-experts hebben een voorheen onbekende, zeer geraffineerde StripedFly-malware ontdekt die wereldwijd meer dan een miljoen slachtoffers treft sinds ten minste 2017. Aanvankelijk deed de malware zich voor als een cryptocurrency miner, maar het bleek een complexe malware te zijn met een multifunctioneel wormable framework.

In 2022 ontdekte Kaspersky's Global Research and Analysis Team twee onverwachte detecties binnen het WININIT.EXE-proces. Deze werden veroorzaakt door de codesequenties die eerder waren waargenomen in de Equation-malware. Deze activiteit was op zijn minst al sinds 2017 aan de gang en had eerdere analyses effectief omzeild door het eerder verkeerd te classificeren als een cryptocurrency miner. Na een uitgebreid onderzoek van het probleem werd ontdekt dat de cryptocurrency miner slechts een onderdeel was van een veel grotere entiteit - een complex, multiplatform, multiplugin kwaadaardig framework.

De payload van de malware bestaat uit meerdere modules, waardoor de actor kan optreden als een APT, een cryptominer en zelfs als een ransomware-groep. Hierdoor worden zijn motieven mogelijk uitgebreid van pure spionage naar financieel gewin. De Monero cryptocurrency die door deze module wordt gemined, bereikte op 9 januari 2018 een piekwaarde van 542,33 dollar, terwijl die in 2017 maar 10 dollar waard was. Vanaf 2023 heeft het een waarde van ongeveer 150 dollar. Kaspersky-experts benadrukken dat de miningmodule de belangrijkste factor is waardoor de malware detectie voor een langere periode kan ontwijken.

Inloggegevens
De aanvaller achter deze operatie heeft uitgebreide mogelijkheden om slachtoffers heimelijk te bespioneren. De malware verzamelt elke twee uur inloggegevens en steelt gevoelige data zoals inloggegevens voor websites en WIFI, en identificeert de gegevens van het slachtoffer, waaronder hun functie. Bovendien kan de malware ongemerkt schermafbeeldingen maken op het apparaat van het slachtoffer, aanzienlijke controle over het apparaat krijgen en zelfs microfooninvoer opnemen.

De aanvankelijke infectievector bleef onbekend totdat nader onderzoek door Kaspersky uitwees dat een op maat gemaakte EternalBlue 'SMBv1'-exploit werd gebruikt om de systemen van de slachtoffers te infiltreren. Ondanks de openbaarmaking van de EternalBlue-kwetsbaarheid in 2017 en de daaropvolgende publicatie van een patch door Microsoft (MS17-010), blijft de dreiging groot doordat veel gebruikers hun systemen niet hebben bijgewerkt.

Meer dan een miljoen slachtoffers
Tijdens de technische analyse van de campagne zagen Kaspersky-experts overeenkomsten met de Equation-malware. Deze omvatten technische indicatoren zoals handtekeningen die worden geassocieerd met de Equation-malware, evenals de coderingsstijl en -praktijken die lijken op die van de StraitBizzare-malware (SBZ). Gebaseerd op downloadtellers weergegeven door de opslagplaats waar de malware wordt gehost, heeft het geschatte aantal doelwitten van StripedFly meer dan een miljoen slachtoffers over de hele wereld bereikt.

"De hoeveelheid moeite die is gestoken in het creëren van dit framework is echt opmerkelijk en de onthulling ervan was verbazingwekkend. Het vermogen van cybercriminelen om zich aan te passen en te evolueren is een constante uitdaging. Daarom is het zo belangrijk voor ons als onderzoekers om onze inspanningen te blijven richten op het blootleggen en verspreiden van geavanceerde cyberbedreigingen, en voor klanten om uitgebreide bescherming tegen cybercriminaliteit niet te vergeten", zegt Sergey Lozhkin, Principal Security Researcher bij Kaspersky's Global Research and Analysis Team (GReAT).