StripedFly: майнер-червь со сложным кодом и возможностями для шпионажа

Эксперты «Лаборатории Касперского» обнаружили ранее неизвестную и крайне сложную вредоносную атаку, которая получила название StripedFly. С 2017 года ее жертвами стали более миллиона пользователей по всему миру, сейчас она продолжается, хоть и менее активно. Долгое время предполагалось, что вредонос представляет собой обычный криптомайнер, но позднее выяснилось, что это сложная программа с многофункциональным работоспособным фреймворком. Об этом исследователи «Лаборатории Касперского» рассказали на Security Analyst Summit.

В 2022 году эксперты Глобального центраисследований и анализа угроз «Лаборатории Касперского» (Global Research and Analysis Team— GReAT) обнаружили два новых инцидента, с использованием этого зловреда. Они были связаны с системным процессом wininit.exe в Windows. В этом процессе была обнаружена последовательность кода, которая ранее использовалась во вредоносном ПО Equation. И хотя активность найденных образцов продолжалась как минимум с 2017 года — она не была сразу досконально изучена на этапе предварительного анализа, поскольку изначально её ошибочно приняли за обычныйкриптомайнер. После всестороннего исследования выяснилось, что криптомайнер — это лишь часть более сложной мультиплатформенной структуры с множеством плагинов.

Множество модулей обнаруженного ВПОпозволяет злоумышленникам использовать его в рамках APT—атак, а также как криптомайнер или даже программу-вымогатель. Соответственно, существенно расширяется список возможных мотивов злоумышленников — от извлечения финансовой выгоды до шпионажа. Примечательно, что стоимость криптовалюты Monero, полученной с помощью вредоносногомодуля, на пике 9 января 2018 года достигла $542,33. Для сравнения, в 2017 году её цена была около $10. Сейчас, в 2023 году, стоимость криптовалюты держится на уровне $150.Эксперты «Лаборатории Касперского» подчёркивают, что модуль для майнинга — это ключевой фактор, из-за которого вредоносное ПО долгое время не получалось полноценно обнаружить.

У злоумышленников есть много возможностей для скрытого шпионажа за жертвами. Вредоносное ПО собирает учётные данные каждые два часа: это могут быть логины и пароли для входа на веб-сайт или для подключения к WiFi, либо персональные данные человека, включая имя, адрес, номер телефона, место работы и должность. Помимо этого, вредонос может незаметно делать скриншоты сустройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.

Источник первичного заражения компьютера долго оставался неизвестным. Дальнейшее исследование «Лаборатории Касперского» показало, что злоумышленники используют для этого собственную реализацию эксплойтаEternalBlue «SMBv1». Уязвимость EternalBlueбыла обнаружена ещё в 2017 году, после чего компания Microsoft выпустила исправление (MS17-010). Однако угроза всё еще актуальна, поскольку не все пользователи обновляютсистему.

В ходе технического анализа кампании эксперты«Лаборатории Касперского» обнаружили сходство с вредоносным ПО Equation. На это указывали технические индикаторы, в том числесигнатуры, стиль программирования, а такжеметоды, похожие на те, что использовались во вредоносном ПО StraitBizzare (SBZ). Судя по данным, полученным со счётчика загрузок, целью StripedFly стали более миллиона пользователей по всему миру.

«Количество усилий, которые были приложены для создания этого фреймворка, поистине впечатляют. Основная сложность для специалистов в области кибербезопасности заключается в том, что злоумышленники постоянно адаптируются к меняющимся условиям. Поэтому нам, исследователям, важно объединять усилия по выявлению сложных киберугроз, а клиентам — не забывать о комплексной защите от кибератак», —комментирует Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защититься от целевых атак злоумышленников, эксперты «Лаборатории Касперского» рекомендуют: