Accueil > Nouvelles Cyber > StripedFly Malware’s Covert Cryptocurrency Mining Operation
CYBER NOUVELLES

Opération secrète d'extraction de crypto-monnaie de StripeFly Malware

Une souche secrète et sophistiquée de les logiciels malveillants nommé StripeFly a navigué silencieusement dans le domaine numérique, échappant à la détection pendant plus d’une demi-décennie. Kaspersky, le célèbre fournisseur russe de cybersécurité, a dévoilé le fonctionnement interne de ce malware insidieux. Le malware StripeFly a été classé comme un framework modulaire avancé capable d'infiltrer de manière transparente les systèmes Linux et Windows..

Opération secrète d'extraction de crypto-monnaie de StripeFly Malware

L'invasion furtive de StripeFly

Initialement détecté par Kaspersky dans 2017, StripeFly opère dans le cadre d'une entité plus grande employant un EternalBlue Exploit SMBv1, célèbre associé au groupe Equation. Cet exploit sert de passerelle permettant au malware d'infiltrer les systèmes accessibles au public., déployer un shellcode malveillant avec la prouesse de télécharger des fichiers binaires à partir de référentiels distants sur Bitbucket et d'exécuter des scripts PowerShell.

La complexité du malware est mise en évidence par son intégration dans le processus légitime wininit.exe, un mécanisme d'initialisation Windows. Décrit comme un code exécutable binaire monolithique, StripeFly est conçu pour prendre en charge les modules enfichables, offrant aux attaquants la flexibilité d’étendre ou de mettre à jour ses fonctionnalités de manière transparente.

Une menace aux multiples facettes

StripeFly ne s'arrête pas à la simple infiltration; il continue en désactivant le protocole SMBv1 sur les hôtes infectés, propager sa malveillance à travers des modules de vermifugation via SMB et SSH. La persistance est obtenue par divers moyens, y compris les modifications du registre Windows, entrées du planificateur de tâches, ou sur les systèmes Linux, via les services utilisateur systemd et les fichiers démarrés automatiquement.

Au-delà de ses opérations secrètes, StripeFly télécharge un Monero mineur crypto-monnaie, utiliser DNS sur HTTPS (DoH) demande de dissimuler sa présence. Ce mineur fait office de leurre, détourner stratégiquement l'attention des capacités les plus sinistres du malware et contrecarrer les logiciels de sécurité.




Un dévouement sans précédent

Ce qui distingue StripeFly, c'est son dévouement à la furtivité et à l'évasion.. Le malware utilise un tunnel réseau TOR pour communiquer avec les serveurs de commande, en utilisant des archives chiffrées personnalisées hébergées sur des services de confiance comme GitLab, GitHub, et Bitbucket. Le malware dispose même de son propre client TOR léger, un témoignage des efforts déployés par les acteurs de la menace pour dissimuler leur commandement et contrôle (C2) serveur.

Les référentiels, agissant comme des mécanismes de repli, assurer la continuité du malware même si le serveur C2 principal ne répond plus, présentant un niveau de sophistication rarement vu dans les cybermenaces.




Parallèles avec l’exploit EternalBlue

Kaspersky de enquête a dévoilé des parallèles intrigants entre StripeFly et les exploits du groupe Equation, en particulier le fameux EternalBlue. Cette connexion fait allusion à l'implication d'une menace persistante avancée (APTE) acteur, soulevant des questions sur les véritables origines et motivations derrière la création de StripeFly.

Malgré les preuves irréfutables, le véritable objectif de StripeFly reste entouré de mystère. L'énigme s'approfondit à mesure que le style de codage du malware reflète celui de STRAITBIZARRE (SBZ), une plateforme d'espionnage associée à un collectif antagoniste présumé lié aux États-Unis.

Questions sans réponse

Alors que les chercheurs en cybersécurité sont aux prises avec la nature curieuse de StripeFly, des questions subsistent sur son objectif ultime. Alors que la variante du ransomware ThunderCrypt, partager des chevauchements de code importants, suggère un motif commercial potentiel, la conception et le déploiement sophistiqués de StripeFly remettent en question les hypothèses conventionnelles sur l'intention derrière ces logiciels malveillants avancés..

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord