StripeFly - un logiciel malveillant complexe qui a échappé à la détection pendant des années

Initialement considéré comme un simple malware d'extraction de crypto-monnaie, StripeFly s'est avéré être une plate-forme d'espionnage très sophistiquée conçue pour les systèmes Windows et Linux, avec un nombre impressionnant de plus d'un million de victimes infectées.

Lorsque StripeFly a été identifié pour la première fois en 2017, il a été rejeté par erreur comme un malware de crypto-minage relativement inefficace. Cependant, il s’est depuis révélé être un malware modulaire complexe, permettant aux cyber-attaquants de maintenir une présence persistante dans les réseaux, d’obtenir une visibilité étendue sur leurs opérations et d’exfiltrer les données si nécessaire. Bien qu’il puisse effectivement exploiter la cryptomonnaie Monero, ses capacités vont bien au-delà, comme l’ont découvert des chercheurs en sécurité qui ont mené une enquête approfondie avant de partager leurs découvertes.

Essentiellement, StripeFly est désormais considéré comme un excellent exemple de malware à menace persistante avancée (APT). Il comprend un tunnel réseau Tor intégré pour la communication avec les serveurs de commande et de contrôle (C2) et propose des mécanismes de mise à jour et de livraison via des plates-formes fiables telles que GitLab, GitHub et Bitbucket, toutes avec des archives cryptées personnalisées.

De plus, les chercheurs ont observé que StripeFly a déjà infecté plus d’un million de systèmes. Ils ont obtenu ces informations auprès d'un référentiel Bitbucket lié au malware, créé le 21 juin 2018, sous le compte d'une personne utilisant le nom de Julie Heilman. Le fait qu’il soit resté indétectable pendant environ six ans est particulièrement étonnant.

Les composants internes de StripeFly

La structure de StrippedFly comprend un code exécutable binaire monolithique avec des modules enfichables, permettant aux attaquants d'étendre ou d'améliorer ses fonctionnalités. Chaque module gère sa propre fonction de rappel pour la communication avec un serveur C2.

Après avoir infiltré un réseau, StripeFly apparaît initialement sous le nom de PowerShell, utilisant un exploit de bloc de messages de serveur (SMB), qui semble être une version personnalisée d'EternalBlue (fuite en avril 2017) pour accéder aux serveurs Windows non corrigés.

Le malware utilise diverses méthodes de persistance basées sur des facteurs tels que la disponibilité de l'interpréteur PowerShell et les privilèges de processus. Généralement, le malware s'exécute avec des privilèges administratifs lorsqu'il est installé via l'exploit et avec des privilèges de niveau utilisateur lorsqu'il est distribué via le serveur Cygwin SSH.

En termes de modules, StripeFly propose trois modules de service pour le stockage de configuration, les mises à jour et la suppression des logiciels malveillants, ainsi qu'un proxy inverse. De plus, il existe six modules de fonctionnalités qui offrent une gamme de capacités aux attaquants. Ces modules comprennent un gestionnaire de commandes diverses, un collecteur d'informations d'identification, des tâches répétables pour prendre des captures d'écran et enregistrer les entrées du microphone, un module de reconnaissance pour compiler les informations système, des infecteurs SMBv1 et SSH pour la pénétration et des capacités de type ver.

Les chercheurs ont également identifié une variante de ransomware associée nommée ThunderCrypt, qui partage la même base de code sous-jacente et communique avec le même serveur C2 que StripeFly.