Una cepa encubierta y sofisticada de el malware llamado StripeFly ha navegado silenciosamente en el ámbito digital, eludiendo la detección durante más de media década. Kaspersky, el reconocido proveedor ruso de ciberseguridad, ha desvelado el funcionamiento interno de este insidioso malware. El malware StripeFly ha sido categorizado como un marco modular avanzado capaz de infiltrarse sin problemas en sistemas Linux y Windows..
La invasión sigilosa de StripedFly
Detectado inicialmente por Kaspersky en 2017, StripeFly opera como parte de una entidad más grande que emplea una costumbre EternalBlue Explotación SMBv1, famoso asociado con el grupo de ecuaciones. Este exploit sirve como puerta de entrada para que el malware se infiltre en sistemas de acceso público., implementar un código shell malicioso con la capacidad de descargar archivos binarios desde repositorios remotos en Bitbucket y ejecutar scripts de PowerShell.
La complejidad del malware se destaca por su integración en el proceso legítimo wininit.exe., un mecanismo de inicialización de Windows. Descrito como un código ejecutable binario monolítico., StripeFly está diseñado para admitir módulos enchufables, proporcionando a los atacantes la flexibilidad de ampliar o actualizar su funcionalidad sin problemas.
Una amenaza multifacética
StripeFly no se limita a la mera infiltración; continúa deshabilitando el protocolo SMBv1 en hosts infectados, difundiendo su malevolencia a través de módulos de desparasitación a través de SMB y SSH. La persistencia se logra a través de varios medios., incluyendo modificaciones del Registro de Windows, entradas del programador de tareas, o en sistemas Linux, a través de servicios de usuario systemd y archivos de inicio automático.
Más allá de sus operaciones encubiertas, StripeFly descarga un Monero La minera criptomoneda, utilizando DNS sobre HTTPS (Departamento de Salud) solicitudes para ocultar su presencia. Este minero actúa como señuelo, desviar estratégicamente la atención de las capacidades más siniestras del malware y frustrar el software de seguridad.
Dedicación sin precedentes
Lo que distingue a StripeFly es su dedicación al sigilo y la evasión.. El malware emplea un túnel de red TOR para comunicarse con los servidores de comando, utilizando archivos cifrados personalizados alojados en servicios confiables como GitLab, GitHub, y Bitbucket. El malware incluso cuenta con su propio cliente TOR ligero., un testimonio de hasta dónde han llegado los actores de amenazas para ocultar su comando y control (C2) servidor.
los repositorios, actuando como mecanismos de respaldo, garantizar la continuidad del malware incluso si el servidor C2 principal deja de responder, mostrando un nivel de sofisticación rara vez visto en amenazas cibernéticas.
Paralelos con el exploit EternalBlue
Kaspersky investigación reveló intrigantes paralelismos entre StripeFly y las hazañas de Equation Group, particularmente el infame EternalBlue. Esta conexión insinúa la participación de una amenaza persistente avanzada. (APTO) actor, planteando preguntas sobre los verdaderos orígenes y motivos detrás de la creación de StripeFly.
A pesar de la evidencia convincente, El verdadero propósito de StripeFly sigue siendo un misterio.. El enigma se profundiza a medida que el estilo de codificación del malware refleja el de STRAITBIZARRE (SBZ), una plataforma de espionaje asociada con un presunto colectivo adversario vinculado a Estados Unidos.
Preguntas sin respuesta
Mientras los investigadores de ciberseguridad se enfrentan a la curiosa naturaleza de StripeFly, Persisten dudas sobre su objetivo final.. Mientras que la variante de ransomware ThunderCrypt, compartir importantes superposiciones de código, sugiere un posible motivo comercial, El diseño sofisticado y la implementación de StripeFly desafían las suposiciones convencionales sobre la intención detrás de este tipo de malware avanzado..