Operação secreta de mineração de criptomoeda do StripedFly Malware

Uma variedade secreta e sofisticada de malwares chamado StripedFly navegou silenciosamente no mundo digital, evitando a detecção por mais de meia década. Kaspersky, o renomado fornecedor russo de segurança cibernética, revelou o funcionamento interno deste malware insidioso. O malware StripedFly foi categorizado como uma estrutura modular avançada capaz de se infiltrar perfeitamente em sistemas Linux e Windows.

A invasão furtiva de StripedFly

Detectado inicialmente pelo Kaspersky em 2017, StripedFly opera como parte de uma entidade maior que emprega um serviço personalizado EternalBlue Exploração SMBv1, notoriamente associado ao Grupo de Equação. Esta exploração serve como porta de entrada para o malware se infiltrar em sistemas acessíveis ao público, implantando um shellcode malicioso com capacidade para baixar arquivos binários de repositórios remotos no Bitbucket e executar scripts do PowerShell.

A complexidade do malware é destacada pela sua integração no processo legítimo wininit.exe, um mecanismo de inicialização do Windows. Descrito como um código executável binário monolítico, StripedFly foi projetado para suportar módulos conectáveis, fornecendo aos invasores a flexibilidade para estender ou atualizar sua funcionalidade perfeitamente.

Uma ameaça multifacetada

StripedFly não para na mera infiltração; continua desabilitando o protocolo SMBv1 em hosts infectados, espalhando sua malevolência através de módulos de worming via SMB e SSH. A persistência é alcançada através de vários meios, incluindo modificações no registro do Windows, entradas do agendador de tarefas, ou em sistemas Linux, via serviços de usuário do systemd e arquivos iniciados automaticamente.

Além de suas operações secretas, StripedFly baixa um Monero mineiro criptomoeda, utilizando DNS sobre HTTPS (DoH) pedidos para ocultar a sua presença. Este mineiro atua como uma isca, desviando estrategicamente a atenção das capacidades mais sinistras do malware e frustrando o software de segurança.

Dedicação sem precedentes

O que diferencia o StripedFly é sua dedicação à furtividade e à evasão. O malware emprega um túnel de rede TOR para comunicação com servidores de comando, usando arquivos criptografados personalizados hospedados em serviços confiáveis como GitLab, GitHub, e Bitbucket. O malware ainda apresenta seu próprio cliente TOR leve, uma prova de até onde os atores da ameaça foram para ocultar seu comando e controle (C2) servidor.

Os repositórios, agindo como mecanismos de reserva, garantir a continuidade do malware mesmo se o servidor C2 primário deixar de responder, apresentando um nível de sofisticação raramente visto em ameaças cibernéticas.

Paralelos com a exploração EternalBlue

de Kaspersky investigação revelou paralelos intrigantes entre StripedFly e as façanhas do Equation Group, particularmente o infame EternalBlue. Esta conexão sugere o envolvimento de uma ameaça persistente avançada (APT) ator, levantando questões sobre as verdadeiras origens e motivos por trás da criação do StripedFly.

Apesar das evidências convincentes, o verdadeiro propósito do StripedFly permanece envolto em mistério. O enigma se aprofunda à medida que o estilo de codificação do malware reflete o do STRAITBIZARRE (SBZ), uma plataforma de espionagem associada a um suposto coletivo adversário ligado aos EUA.

Perguntas não respondidas

Enquanto os pesquisadores de segurança cibernética lidam com a natureza curiosa do StripedFly, permanecem dúvidas sobre seu objetivo final. Embora a variante de ransomware ThunderCrypt, compartilhando sobreposições de código significativas, sugere um motivo comercial potencial, o design sofisticado e a implantação do StripedFly desafiam as suposições convencionais sobre a intenção por trás desse malware avançado.