Descuentos para licencias múltiples
Threat Database Malware StripedFly Malware

StripedFly Malware

Por Mezo en Malware, Stealers
Traducir a:
Español

Los expertos en ciberseguridad han descubierto una cepa de malware excepcionalmente avanzada llamada StripeFly, previamente desconocida para la comunidad de seguridad de la información. Este malware ha demostrado un impacto global, apuntando y afectando a más de un millón de víctimas desde al menos 2017. Inicialmente disfrazado como una herramienta de minería de criptomonedas, se ha revelado como un malware complejo y versátil que presenta un marco multifacético y autopropagante. .

StripedFly puede haber infectado más de un millón de sistemas

El marco de malware StripeFly salió a la luz tras su detección por parte de investigadores, quienes identificaron su presencia en el proceso WININIT.EXE, un componente legítimo del sistema operativo Windows responsable de iniciar varios subsistemas.

Al profundizar en el código inyectado, se hizo evidente que StripeFly inicia la descarga y ejecución de archivos adicionales, en particular scripts de PowerShell, desde plataformas de alojamiento legítimas como Bitbucket, GitHub y GitLab. Un análisis más detallado reveló que el malware probablemente se infiltró en los dispositivos a través de un exploit personalizado de la vulnerabilidad EternalBlue SMBv1, dirigido principalmente a computadoras expuestas a Internet.

La carga útil final de StripeFly, denominada 'system.img', incluye un cliente de red TOR ligero y patentado para proteger sus comunicaciones de red contra la interceptación. También posee la capacidad de desactivar el protocolo SMBv1 y propagarse a otros dispositivos Windows y Linux en la red mediante SSH y EternalBlue. El servidor de Comando y Control (C2, C&C) de StripeFly opera dentro de la red TOR, manteniendo la comunicación a través de frecuentes mensajes de baliza que contienen una identificación única de la víctima.

Para establecer la persistencia en los sistemas Windows, StripeFly adapta su enfoque según el nivel de privilegio y la presencia de PowerShell. En ausencia de PowerShell, genera un archivo oculto en el directorio %APPDATA%. Cuando PowerShell está disponible, el malware ejecuta scripts para crear tareas programadas o modificar las claves del Registro de Windows.

En Linux, StripeFly adopta el apodo de "sd-pam". La persistencia en esta plataforma se logra a través de servicios systemd, archivos .desktop de inicio automático o modificando varios archivos de perfil y de inicio, incluidos los archivos /etc/rc*, perfil, bashrc o inittab.

Los datos del repositorio de Bitbucket responsable de entregar la carga útil de la etapa final a los sistemas Windows sugieren que entre abril de 2023 y septiembre de 2023, StripeFly infectó casi 60.000 sistemas. Sin embargo, los investigadores estiman que el número total de dispositivos afectados por el marco StripeFly puede superar el millón.

Numerosos módulos especializados encontrados en el malware StripeFly

El malware está diseñado como un ejecutable binario único e independiente con módulos adaptables, lo que le proporciona flexibilidad operativa típicamente asociada con operaciones de amenazas persistentes avanzadas (APT):

    • Almacenamiento de configuración: este módulo almacena de forma segura la configuración de malware cifrada.
    • Actualizar/Desinstalar: Responsable de administrar las actualizaciones o la eliminación en función de los comandos recibidos del servidor de Comando y Control (C2).
    • Proxy inverso: permite acciones remotas dentro de la red de la víctima.
    • Controlador de comandos varios: ejecuta varios comandos, incluida la captura de capturas de pantalla y la ejecución de shellcode.
    • Credential Harvester: escanea y recupera datos confidenciales del usuario, como contraseñas y nombres de usuario.
    • Tareas repetibles: realiza tareas específicas en condiciones predefinidas, como grabar audio desde el micrófono.
    • Módulo de reconocimiento: envía información completa del sistema al servidor C2.
    • SSH Infector: utiliza credenciales SSH recopiladas para infiltrarse en otros sistemas.
    • SMBv1 Infector: se propaga a otros sistemas Windows explotando una vulnerabilidad personalizada de EternalBlue.
    • Módulo de minería de Monero: extrae criptomonedas Monero, disfrazándose de un proceso "chrome.exe".

La inclusión del módulo de minería de criptomonedas Monero se considera un intento de desviar la atención, ya que los objetivos principales de los actores de amenazas giran en torno al robo de datos y la explotación del sistema, facilitados por los otros módulos.

 

Tendencias

Mas Visto

Cargando...