StripedFly – um malware complexo que escapou da detecção por anos
Inicialmente considerado um simples malware de mineração de criptomoedas, o StripedFly revelou-se uma plataforma de espionagem altamente sofisticada, projetada para sistemas Windows e Linux, com um número impressionante de mais de 1 milhão de vítimas infectadas.
Quando o StripedFly foi identificado pela primeira vez em 2017, foi erroneamente descartado como um malware de mineração de criptografia relativamente ineficaz. No entanto, desde então revelou-se um malware modular complexo, permitindo que os ciberataques mantenham uma presença persistente nas redes, obtenham ampla visibilidade das suas operações e exfiltrem dados conforme necessário. Embora possa de fato extrair a criptomoeda Monero, suas capacidades vão muito além disso, conforme descoberto por pesquisadores de segurança que conduziram uma investigação completa antes de compartilhar suas descobertas.
Em essência, o StripedFly é agora considerado um excelente exemplo de malware de ameaça persistente avançada (APT). Inclui um túnel de rede Tor integrado para comunicação com servidores de comando e controle (C2) e apresenta mecanismos de atualização e entrega por meio de plataformas confiáveis como GitLab, GitHub e Bitbucket, todas com arquivos criptografados personalizados.
Além disso, os pesquisadores observaram que o StripedFly já infectou mais de 1 milhão de sistemas. Eles obtiveram essas informações de um repositório Bitbucket vinculado ao malware, criado em 21 de junho de 2018, sob a conta de alguém que usava o nome Julie Heilman. O facto de ter permanecido despercebido durante cerca de seis anos é particularmente surpreendente.
Parte interna do StripedFly
A estrutura do StrippedFly compreende um código executável binário monolítico com módulos conectáveis, permitindo que invasores expandam ou aprimorem sua funcionalidade. Cada módulo gerencia sua própria função de retorno de chamada para comunicação com um servidor C2.
Ao se infiltrar em uma rede, StripedFly inicialmente aparece como PowerShell, utilizando um exploit de bloco de mensagens de servidor (SMB), que parece ser uma versão personalizada do EternalBlue (vazou em abril de 2017) para entrar em servidores Windows não corrigidos.
O malware emprega vários métodos de persistência com base em fatores como a disponibilidade do interpretador PowerShell e privilégios de processo. Geralmente, o malware é executado com privilégios administrativos quando instalado por meio do exploit e com privilégios de usuário quando entregue por meio do servidor Cygwin SSH.
Em termos de módulos, StripedFly apresenta três módulos de serviço para armazenamento de configuração, atualizações e remoção de malware, bem como um proxy reverso. Além disso, existem seis módulos de funcionalidade que permitem uma variedade de recursos para invasores. Esses módulos incluem um manipulador de comandos diversos, um coletor de credenciais, tarefas repetíveis para fazer capturas de tela e gravar entradas de microfone, um módulo de reconhecimento para compilar informações do sistema, infectores SMBv1 e SSH para penetração e recursos semelhantes a worms.
Os pesquisadores também identificaram uma variante de ransomware relacionada chamada ThunderCrypt, que compartilha a mesma base de código subjacente e se comunica com o mesmo servidor C2 do StripedFly.
