Kaspersky scopre StripedFly: un worming miner che nasconde un codice sofisticato e capacità di spionaggio
Gli esperti di Kaspersky hanno scoperto StripedFly, un malware finora sconosciuto e altamente sofisticato diffuso a livello globale, che ha colpito oltre un milione di vittime a partire dal 2017. Inizialmente utilizzato come un miner di criptovalute, si è rivelato un malware complesso con un framework wormable multifunzionale.
Nel 2022, il Global Research and Analysis Team di Kaspersky ha riscontrato due rilevamenti inaspettati all’interno del processo WININIT.EXE, innescati dalle sequenze di codice precedentemente osservate nel malware Equation. L’attività di StripedFly era in corso almeno dal 2017 che ha eluso le analisi precedenti, essendo stata classificata in passato come miner di criptovalute.
A seguito di un esame completo del problema, è stato scoperto che il miner di criptovalute era solo un componente di un’entità molto più grande, un complesso framework maligno multipiattaforma e multiplugin.
Il payload del malware comprende più moduli, consentendo all’attore di operare come APT, come crypto miner e persino come gruppo di ransomware, ampliando potenzialmente gli obiettivi dallo spionaggio al guadagno finanziario. In particolare, la criptovaluta Monero estratta da questo modulo ha raggiunto il suo valore massimo di 542,33 dollari il 9 gennaio 2018, rispetto al valore del 2017 di circa 10 dollari.
A partire dal 2023, ha mantenuto un valore di circa 150 dollari. Gli esperti di Kaspersky sottolineano che il modulo di mining è il componente principale che consente al malware di eludere il rilevamento per un periodo prolungato.
L’aggressore dietro questa operazione ha acquisito ampie capacità di spiare clandestinamente le vittime. Il malware raccoglie le credenziali ogni due ore, rubando informazioni sensibili come i dati di accesso al sito e al Wi-Fi, oltre a dati personali come nome, indirizzo, numero di telefono, azienda e posizione lavorativa. Inoltre, il malware è in grado di catturare schermate sul dispositivo della vittima senza essere rilevato, ottenere un controllo significativo sul computer e persino registrare gli input del microfono.
Il vettore di infezione iniziale è rimasto sconosciuto fino a quando ulteriori indagini di Kaspersky hanno rivelato l’utilizzo di un exploit EternalBlue “SMBv1” personalizzato per infiltrarsi nei sistemi delle vittime. Nonostante la rivelazione della vulnerabilità EternalBlue nel 2017 e il successivo rilascio di una patch da parte di Microsoft (denominata MS17-010), la minaccia rimane significativa perché molti utenti non hanno aggiornato i propri sistemi.
Durante l’analisi tecnica della campagna, gli esperti di Kaspersky hanno osservato delle somiglianze con il malware Equation. Queste includono indicatori tecnici come le firme associate al malware Equation, così come lo stile e le pratiche di codifica che assomigliano a quelle viste nel malware StraitBizzare (SBZ). In base ai contatori di download visualizzati dal repository in cui è ospitato il malware, il numero stimato di bersagli di StripedFly ha raggiunto oltre un milione di vittime in tutto il mondo.
“L’impegno profuso nella creazione di questo framework è davvero notevole e la sua presentazione è stata davvero sorprendente. La capacità dei criminali informatici di adattarsi ed evolversi è una sfida costante, ed è per questo che è così importante che noi ricercatori continuiamo a dedicare i nostri sforzi alla scoperta e alla diffusione di minacce informatiche sofisticate, e che i clienti non dimentichino la protezione completa dal crimine informatico”, ha commentato Sergey Lozhkin, Principal Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.
Ulteriori informazioni su StripedFly sono disponibili su Securelist.com.
Per proteggersi da queste minacce, i ricercatori di Kaspersky consigliano di implementare le seguenti misure:
⦁ Aggiornare regolarmente il sistema operativo, le applicazioni e il software antivirus per eliminare le vulnerabilità note.
⦁ Prestare attenzione alle e-mail, ai messaggi o alle chiamate che contengono informazioni sensibili. È importante verificare sempre l’identità del mittente prima di condividere dati personali o di cliccare su link sospetti.
⦁ Fornire al proprio team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Il ⦁ Kaspersky ⦁ Threat⦁ Intelligence Portal è un unico punto di accesso per le informazioni sulle minacce dell’azienda, che fornisce dati e approfondimenti sui cyberattacchi raccolti da Kaspersky in oltre 20 anni.
⦁ Aggiornare il proprio team si cybersicurezza per affrontare le ultime minacce mirate con la ⦁ formazione online di Kaspersky sviluppata dagli esperti del GReAT.
⦁ Per il rilevamento a livello di endpoint, l’indagine e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come ⦁ Kaspersky Endpoint ⦁ Detection⦁ and ⦁ Response.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
