Um malware altamente sofisticado que se passa por um minerador de criptomoedas permaneceu fora do radar por cinco anos, infectando mais de um milhão de dispositivos, alerta a empresa de segurança cibernética Kaspersky.
Apelidado ListradoFlya ameaça contém sequências de código observadas anteriormente no malware usado pelo agente da ameaça conhecido como Equation Group, que está vinculado à Agência de Segurança Nacional dos EUA.
Projetado como uma estrutura modular, o StripedFly pode ser direcionado ao Windows e ao Linux e vem com um túnel de rede Tor integrado que usa para comunicação com o servidor de comando e controle (C&C). Ele também possui mecanismos de atualização e entrega que dependem de serviços confiáveis, incluindo Bitbucket, GitLab e GitHub.
“Tal abordagem não é de forma alguma comum entre APT e desenvolvedores de crimeware, e este exemplo incrível ressalta a sofisticação deste malware em comparação com muitos outros. A sua complexidade funcional e elegância lembram-nos o código elegante que implementa redes de comunicações Equation tolerantes a atrasos e outras bibliotecas, reforçando a sua classificação como uma ameaça altamente avançada”, observa Kaspersky.
StripedFly, diz a empresa de segurança cibernética, foi detectado inicialmente em 2017, quando foi classificado erroneamente como um minerador de criptomoeda, apesar de sua exploração personalizada EternalBlue SMBv1 que permitiu que ele se espalhasse silenciosamente, evitando a detecção pela maioria das soluções de segurança.
Com base na presença do PowerShell e seus privilégios no sistema, o malware consegue persistência modificando o registro do Windows ou criando tarefas agendadas. Vários métodos de persistência também são usados no Linux.
Os componentes de malware que podem ser descarregados são hospedados como binários criptografados em serviços online. Embora a contagem de downloads nesses repositórios reflita apenas os downloads da versão mais recente, a Kaspersky determinou que mais de um milhão de atualizações foram baixadas desde 2017.
Os módulos do StripedFly fornecem serviço ou funcionalidade estendida e são responsáveis por armazenar a configuração do malware, operações de atualização e desinstalação, criar um proxy reverso, coletar credenciais e arquivos, fazer capturas de tela, executar processos, gravar entrada de microfone, realizar reconhecimento, espalhar o malware e mineração de Monero.
A análise do malware feita pela Kaspersky também revelou múltiplas semelhanças com o ransomware ThunderCrypt, como a presença de um cliente Tor e vários módulos com a mesma funcionalidade do StripedFly.
Ademais, a empresa de segurança encontrou semelhanças entre o StripedFly e o malware Equation, embora não tenha identificado “nenhuma evidência direta de que estejam relacionados”.
Segundo a Kaspersky, o propósito do StripedFly ainda não está claro. O que está claro, porém, é que ele possui todas as capacidades de uma ameaça persistente avançada, combinadas com as do ransomware, e que pode ser usado tanto para ganho financeiro quanto para espionagem.