Especialistas da Kaspersky descobriram um malware até então desconhecido e altamente sofisticado, apelidado de StripedFly, que já afetou mais de 1 milhão de vítimas em todo o mundo desde, ao menos, 2017. Atuando inicialmente como um minerador de criptomoedas, acabou se tornando um malware complexo com uma estrutura wormable multifuncional, o que significa que não requer interação humana para espalhar sua superfície de ataque para outro servidor Windows ou Linux vulnerável.
No ano passado, a Equipe Global de Pesquisa e Análise da Kaspersky encontrou duas detecções inesperadas dentro do processo wininit.exe, desencadeadas por sequências de código que foram observadas anteriormente no malware Equation.
A atividade do StripedFly foi classificada erroneamente anteriormente como sendo de mineração de criptomoedas. Depois de realizar um exame abrangente da questão, descobriu-se que o minerador de criptomoedas era apenas um componente de uma entidade muito maior — uma estrutura maliciosa complexa, multiplataforma e multiplugin.
A carga útil de malware engloba vários módulos, permitindo que os operadores da ameaça atuem como uma ameaça persistente avançada (APT), como um minerador de criptografia e até mesmo como um grupo de ransomware. Notadamente, a criptomoeda Monero minerada por este módulo atingiu seu valor máximo em US$ 542,33 em 9 de janeiro de 2018, na comparação com seu valor de 2017 de cerca de US$ 10. Neste ano, manteve o valor de aproximadamente US$ 150. Os especialistas da Kaspersky enfatizam que o módulo de mineração é o principal fator que permite que o malware evite a detecção por um longo período.
Os operadores por trás do wormable adquiriram amplas capacidades para espionar as vítimas. O malware coleta credenciais a cada duas horas, roubando dados confidenciais, como credenciais de login do site e do Wi-Fi, juntamente com dados pessoais, como nome, endereço, número de telefone, empresa e cargo. Além disso, o malware pode capturar capturas de tela no dispositivo da vítima sem detecção, obter controle significativo sobre a máquina e até mesmo gravar a entrada do microfone.
O vetor de infecção inicial permaneceu desconhecido até que a investigação adicional da Kaspersky revelou o uso de um exploit personalizado EternalBlue ‘SMBv1’ para se infiltrar nos sistemas da vítima. Apesar da divulgação pública da vulnerabilidade EternalBlue em 2017 e do subsequente lançamento de um patch pela Microsoft (designado como MS17-010), a ameaça que ela apresenta permanece significativa devido a muitos usuários não terem atualizado seus sistemas.
Veja isso
Worm usa antigas armas cibernéticas da NSA em ataques
Malware tem como alvo bancos no Brasil e no exterior
Durante a análise técnica da campanha, os especialistas da Kaspersky observaram semelhanças com o malware associado ao grupo Equation. Isso inclui indicadores técnicos, como assinaturas associadas ao malware Equation, bem como o estilo de codificação e práticas semelhantes às vistas no malware StraitBizzare (SBZ). Com base nos contadores de download exibidos pelo repositório onde o malware está hospedado, o número estimado de alvos do StripedFly atingiu mais de 1 milhão de vítimas em todo o mundo.
“A quantidade de esforço investido na criação dessa estrutura é realmente notável, e sua revelação foi bastante surpreendente”, disse Sergey Lozhkin, principal pesquisador de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “A capacidade dos operadores da ameaça de se adaptarem e evoluírem é um desafio constante, e é por isso que é tão importante para nós, como pesquisadores, continuar a dedicar nossos esforços para descobrir e disseminar ameaças cibernéticas sofisticadas, e para que os clientes não se esqueçam da proteção abrangente”, completou.
