Durante una delle sue ricerche, il team di ricerca e analisi di Kaspersky ha individuato comportamenti sospetti nel processo WININIT.EXE.
In questo contesto è stato poi possibile individuare StripedFly, un malware attivo almeno dal 2017, fino a quel momento considerato classificato solo come miner di criptovaluta. In realtà, dopo un’analisi accurata, questo si è rivelato molto più pericoloso del previsto, visto un framework più complesso e la possibilità di combinare l’agente malevolo con ulteriori plugin.
A quanto pare, infatti, il malware può essere modificato a piacimento dai suoi creatori agendo, oltre che come un miner, anche come ransomware o nel contesto dello spionaggio. Per quanto concerne le funzioni da cryptojacking, StripedFly si concentra sulla criptovaluta Monero.
Il malware, come già accennato, va ben oltre. Si parla della possibilità di rubare dati sensibili e credenziali con una cadenza di due ore, arrivando anche a catturare screenshot dal display della vittima o a registrare l’input del microfono.
StripedFly: tutto parte da una vecchia vulnerabilità, ignorata da molti utenti
Il vettore iniziale dell’infezione è rimasto sconosciuto fino a quando ulteriori indagini di Kaspersky non hanno rivelato l’utilizzo di un exploit EternalBlue “SMBv1” per infiltrarsi nei sistemi della vittima. Nonostante la divulgazione pubblica della vulnerabilità EternalBlue nel 2017 e il successivo rilascio di una patch da parte di Microsoft (nello specifico la MS17-010), la minaccia che presenta rimane significativa a causa del fatto che molti utenti non hanno aggiornato i propri sistemi operativi.
Durante l’analisi tecnica della campagna, gli esperti di Kaspersky hanno osservato somiglianze con un altro malware, noto come Equation. Queste somiglianze riguardano stili e pratiche di codifica simili e altre caratteristiche che rendono i due malware quasi “fratelli”. In base ai contatori dei download visualizzati dal repository in cui è ospitato il malware, il numero stimato di obiettivi raggiunti da StripedFly ha superato il milione di vittime in tutto il mondo.
Sergey Lozhkin, Principal Security Researcher presso il Global Research and Analysis Team (GReAT) di Kaspersky ha affermato come “La quantità di sforzi investiti nella creazione di questa struttura è davvero notevole e la sua inaugurazione è stata piuttosto sorprendente. La capacità degli autori delle minacce di adattarsi ed evolversi è una sfida costante, motivo per cui è così importante per noi ricercatori continuare a dedicare i nostri sforzi alla scoperta e alla diffusione di minacce informatiche sofisticate e che i clienti non dimentichino una protezione completa“.