Εδώ και πέντε χρόνια, ένα εξαιρετικά εξελιγμένο κακόβουλο λογισμικό, γνωστό ως StripedFly, πέρασε απαρατήρητο από τους ερευνητές κυβερνοασφάλειας, μολύνοντας πάνω από ένα εκατομμύριο συστήματα Windows και Linux κατά τη διάρκεια αυτής της περιόδου.

Δείτε επίσης: Οι επιθέσεις IoT Malware αυξήθηκαν κατά 400%

Το περασμένο έτος, η Kaspersky ανακάλυψε την πραγματική φύση του κακόβουλου λογισμικού, εντοπίζοντας αποδείξεις της δραστηριότητάς του από το 2017, με το StripedFly να κατηγορείται λανθασμένα ως απλός εξορυκτής κρυπτονομίσματος Monero.

Οι αναλυτές περιγράφουν το StripedFly ως κάτι περισσότερο από εντυπωσιακό, με εξελιγμένους μηχανισμούς απόκρυψης της κυκλοφορίας βασισμένους στο TOR, αυτόματη ενημέρωση από έμπιστες πλατφόρμες, ικανότητες εξάπλωσης τύπου worm και ένα προσαρμοσμένο exploit του EternalBlue SMBv1 που δημιουργήθηκε πριν από τη δημόσια αποκάλυψη της ευπάθειας.

Ενώ δεν είναι σαφές εάν αυτό το κομμάτι κακόβουλου λογισμικού χρησιμοποιήθηκε για την παραγωγή εσόδων ή για κυβερνοκατασκοπία, η Kaspersky αναφέρει ότι η προηγμένη του πολυπλοκότητα υποδεικνύει ότι πρόκειται για κακόβουλο λογισμικό εξελιγμένης μόνιμης απειλής (APT).

Με βάση τη χρονοσφραγίδα του μεταγλωττιστή για το κακόβουλο λογισμικό, η πρώιμη γνωστή έκδοση του StripedFly με εκμετάλλευση του EternalBlue χρονολογείται από τον Απρίλιο του 2016, ενώ η δημόσια διαρροή από την ομάδα Shadow Brokers συνέβη τον Αύγουστο του 2016.

Το κακόβουλο πλαίσιο StripedFly ανακαλύφθηκε αρχικά από την Kaspersky, αφού εντόπισε το shellcode της πλατφόρμας που είχε εισαχθεί στη διεργασία WININIT.EXE, μια νόμιμη διεργασία του λειτουργικού συστήματος Windows που χειρίζεται την αρχικοποίηση διάφορων υποσυστημάτων. Μετά από έρευνα του ενσωματωμένου κώδικα, κατέληξαν ότι αυτός κατεβάζει και εκτελεί επιπλέον αρχεία, όπως σενάρια PowerShell, από νόμιμες υπηρεσίες φιλοξενίας, όπως το Bitbucket, το GitHub και το GitLab. Περαιτέρω έρευνα έδειξε ότι οι μολυσμένες συσκευές πιθανώς παραβιάστηκαν αρχικά χρησιμοποιώντας μια εξατομικευμένη εκμετάλλευση EternalBlue SMBv1 που στόχευε σε υπολογιστές που ήταν εκτεθειμένοι στο διαδίκτυο.

Δείτε ακόμα: Grandoreiro Malware: Νέα έκδοση στοχεύει χρήστες στην Ισπανία

Το τελικό φορτίο StripedFly (system.img) διαθέτει ένα προσαρμοσμένο ελαφρύ πελάτη δικτύου TOR για την προστασία των δικτυακών του επικοινωνιών από παρεμβολές, τη δυνατότητα απενεργοποίησης του πρωτοκόλλου SMBv1 και τη διάδοσή του σε άλλες συσκευές Windows και Linux στο δίκτυο χρησιμοποιώντας SSH και EternalBlue.

Ο διακομιστής ελέγχου και εντολών (C2) του κακόβουλου λογισμικού βρίσκεται στο δίκτυο TOR, και η επικοινωνία με αυτόν περιλαμβάνει συχνά μηνύματα που περιέχουν το μοναδικό αναγνωριστικό του θύματος.

Για την επίμονη λειτουργία σε συστήματα Windows, το StripedFly προσαρμόζει τη συμπεριφορά του βάσει του επιπέδου προνομίων και της παρουσίας του PowerShell. Χωρίς το PowerShell, δημιουργεί ένα κρυφό αρχείο στον κατάλογο %APPDATA%. Σε περιπτώσεις όπου το PowerShell είναι διαθέσιμο, εκτελεί σενάρια για τη δημιουργία προγραμματισμένων εργασιών ή τροποποίηση κλειδιών του Μητρώου των Windows.

Στο Linux, ο κακόβουλος κώδικας υιοθετεί το όνομα ‘sd-pam’. Επιτυγχάνει την ανθεκτικότητα χρησιμοποιώντας υπηρεσίες του systemd, ένα αυτόματα εκκινούμενο αρχείο .desktop ή τροποποιώντας διάφορα αρχεία προφίλ και εκκίνησης, όπως τα /etc/rc*, profile, bashrc ή τα αρχεία inittab.

Το αποθετήριο Bitbucket παράδωσε το τελικό φορτίο σε συστήματα Windows, προκαλώντας σχεδόν 60.000 μολύνσεις από τον Απρίλιο του 2023 έως τον Σεπτέμβριο του 2023. Εκτιμάται ότι το StripedFly έχει μολύνει τουλάχιστον 220.000 συστήματα Windows από τον Φεβρουάριο του 2022, αλλά οι στατιστικές πριν από αυτήν την ημερομηνία δεν είναι διαθέσιμες και το αποθετήριο δημιουργήθηκε το 2018. Ωστόσο, η Kaspersky εκτιμά ότι πάνω από 1 εκατομμύριο συσκευές έχουν μολυνθεί από το πλαίσιο StripedFly.

Δείτε επίσης: QuasarRAT malware: Χρησιμοποιεί την τεχνική DLL side-loading

Η προστασία από το malware StripedFly περιλαμβάνει την ενημέρωση και την ενίσχυση των μέτρων ασφαλείας στα συστήματα Windows και Linux. Οι παρακάτω συμβουλές μπορούν να βοηθήσουν στην αποτροπή της μόλυνσης από το StripedFly:

  1. Ενημερώστε τα λειτουργικά συστήματα σας: Είναι σημαντικό να εγκαθιστάτε τις τελευταίες ενημερώσεις ασφαλείας για τα Windows και τα Linux συστήματά σας. Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις για γνωστά προβλήματα ασφαλείας και μπορούν να βοηθήσουν στην αποτροπή της εκμετάλλευσης των ευπαθειών από το StripedFly malware.
  2. Εγκαταστήστε ένα αξιόπιστο λογισμικό ασφαλείας: Χρησιμοποιήστε ένα αξιόπιστο λογισμικό antivirus και προστασίας από κακόβουλο λογισμικό για να σαρώσετε το σύστημά σας και να απομακρύνετε τυχόν απειλές. Επίσης, βεβαιωθείτε ότι το λογισμικό ασφαλείας σας είναι ενημερωμένο και λειτουργεί σε πραγματικό χρόνο για να ανιχνεύει και να αποτρέπει το StripedFly malware.
  3. Προσέξτε τα email και τα επισυναπτόμενα αρχεία: Μην ανοίγετε email από άγνωστους αποστολείς και μην κάνετε κλικ σε συνημμένα αρχεία ή συνδέσμους που δεν περιμένετε. Οι κακόβουλοι αποστολείς μπορούν να χρησιμοποιήσουν τα email για να διαδώσουν το StripedFly malware και άλλα κακόβουλα προγράμματα.
  4. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Επιλέξτε μεγάλους και πολύπλοκους κωδικούς πρόσβασης για τους λογαριασμούς σας και αλλάξτε τους τακτικά. Αυτό μπορεί να δυσκολέψει την πρόσβαση των επιτιθέμενων στο σύστημά σας και να προστατεύσει από το StripedFly malware.
  5. Εκπαιδεύστε τους χρήστες: Είναι σημαντικό να εκπαιδεύσετε τους χρήστες σας για τους κινδύνους του κακόβουλου λογισμικού και τις προφυλάξεις που πρέπει να λαμβάνουν. Ενημερώστε τους για τη σημασία της προσοχής κατά τον περιηγητή στο διαδίκτυο, την αναγνώριση ύποπτων email και την αποφυγή καταφανώς κακόβουλων ιστοσελίδων.

Πηγή: bleepingcomputer