StripedFly: un malware complesso che è riuscito a sfuggire al rilevamento per anni
Inizialmente ritenuto un semplice malware per il mining di criptovalute, StripedFly si è rivelato essere una piattaforma di spionaggio altamente sofisticata progettata sia per i sistemi Windows che per quelli Linux, con un numero sbalorditivo di oltre 1 milione di vittime infette.
Quando StripedFly fu identificato per la prima volta nel 2017, fu erroneamente liquidato come un malware per il mining di criptovalute relativamente inefficace. Tuttavia, da allora si è rivelato un malware modulare e complesso, che consente agli aggressori informatici di mantenere una presenza persistente nelle reti, ottenere un’ampia visibilità sulle loro operazioni ed esfiltrare i dati secondo necessità. Sebbene possa effettivamente minare la criptovaluta Monero, le sue capacità vanno ben oltre, come scoperto dai ricercatori di sicurezza che hanno condotto un'indagine approfondita prima di condividere i loro risultati.
In sostanza, StripedFly è ora considerato un ottimo esempio di malware Advanced Persistent Threat (APT). Include un tunnel di rete Tor incorporato per la comunicazione con server di comando e controllo (C2) e presenta meccanismi di aggiornamento e distribuzione attraverso piattaforme affidabili come GitLab, GitHub e Bitbucket, tutte con archivi crittografati personalizzati.
Inoltre, i ricercatori hanno osservato che StripedFly ha già infettato più di 1 milione di sistemi. Hanno ottenuto queste informazioni da un repository Bitbucket collegato al malware, creato il 21 giugno 2018 sotto l'account di qualcuno che utilizza il nome Julie Heilman. Il fatto che sia rimasto inosservato per circa sei anni è particolarmente sorprendente.
Componenti interni di StripedFly
La struttura di StrippedFly comprende un codice eseguibile binario monolitico con moduli collegabili, che consente agli aggressori di espandere o migliorare la sua funzionalità. Ogni modulo gestisce la propria funzione di callback per la comunicazione con un server C2.
Dopo essersi infiltrato in una rete, StripedFly appare inizialmente come PowerShell, utilizzando un exploit SMB (Server Message Block), che sembra essere una versione personalizzata di EternalBlue (trapelata nell'aprile 2017) per accedere a server Windows senza patch.
Il malware utilizza vari metodi di persistenza basati su fattori come la disponibilità dell'interprete PowerShell e i privilegi di processo. In genere, il malware viene eseguito con privilegi di amministratore se installato tramite l'exploit e con privilegi a livello di utente se distribuito tramite il server SSH Cygwin.
In termini di moduli, StripedFly dispone di tre moduli di servizio per l'archiviazione della configurazione, gli aggiornamenti e la rimozione del malware, nonché un proxy inverso. Inoltre, sono presenti sei moduli di funzionalità che abilitano una serie di funzionalità per gli aggressori. Questi moduli includono un gestore di comandi vari, un raccoglitore di credenziali, attività ripetibili per acquisire screenshot e registrare l'input del microfono, un modulo di ricognizione per compilare informazioni di sistema, infettatori SMBv1 e SSH per la penetrazione e funzionalità simili a worm.
I ricercatori hanno anche identificato una variante del ransomware correlata denominata ThunderCrypt, che condivide la stessa base di codice sottostante e comunica con lo stesso server C2 di StripedFly.
