StripeFly: un malware complejo que evadió la detección durante años

Inicialmente se creía que era un simple malware de minería de criptomonedas, pero StripeFly ha resultado ser una plataforma de espionaje altamente sofisticada diseñada para sistemas Windows y Linux, con una asombrosa cantidad de más de 1 millón de víctimas infectadas.

Cuando StripeFly se identificó por primera vez en 2017, se descartó por error como un malware de criptominería relativamente ineficaz. Sin embargo, desde entonces se ha revelado como un malware modular complejo, que permite a los ciberatacantes mantener una presencia persistente en las redes, obtener una amplia visibilidad de sus operaciones y extraer datos según sea necesario. Si bien puede extraer la criptomoneda Monero, sus capacidades van mucho más allá, como lo descubrieron investigadores de seguridad que llevaron a cabo una investigación exhaustiva antes de compartir sus hallazgos.

En esencia, StripeFly ahora se considera un excelente ejemplo de malware de amenaza persistente avanzada (APT). Incluye un túnel de red Tor integrado para la comunicación con servidores de comando y control (C2) y presenta mecanismos de actualización y entrega a través de plataformas confiables como GitLab, GitHub y Bitbucket, todas con archivos cifrados personalizados.

Además, los investigadores han observado que StripeFly ya ha infectado más de 1 millón de sistemas. Obtuvieron esta información de un repositorio de Bitbucket vinculado al malware, creado el 21 de junio de 2018, bajo la cuenta de alguien que usaba el nombre de Julie Heilman. El hecho de que haya pasado desapercibido durante unos seis años es especialmente sorprendente.

Partes internas de StripeFly

La estructura de StrippedFly comprende un código ejecutable binario monolítico con módulos conectables, lo que permite a los atacantes ampliar o mejorar su funcionalidad. Cada módulo gestiona su propia función de devolución de llamada para comunicarse con un servidor C2.

Al infiltrarse en una red, StripeFly aparece inicialmente como PowerShell, utilizando un exploit de bloqueo de mensajes del servidor (SMB), que parece ser una versión personalizada de EternalBlue (filtrada en abril de 2017) para ingresar a servidores Windows sin parches.

El malware emplea varios métodos de persistencia basados en factores como la disponibilidad del intérprete de PowerShell y los privilegios del proceso. Generalmente, el malware se ejecuta con privilegios administrativos cuando se instala a través del exploit y con privilegios de nivel de usuario cuando se entrega a través del servidor Cygwin SSH.

En términos de módulos, StripeFly presenta tres módulos de servicio para almacenamiento de configuración, actualizaciones y eliminación de malware, así como un proxy inverso. Además, hay seis módulos de funcionalidad que permiten una variedad de capacidades para los atacantes. Estos módulos incluyen un controlador de comandos variado, un recolector de credenciales, tareas repetibles para tomar capturas de pantalla y grabar entradas de micrófono, un módulo de reconocimiento para compilar información del sistema, infectadores SMBv1 y SSH para penetración y capacidades similares a gusanos.

Los investigadores también identificaron una variante de ransomware relacionada llamada ThunderCrypt, que comparte la misma base de código subyacente y se comunica con el mismo servidor C2 que StripeFly.