Il malware StripedFly ha colpito 1 milione di host Windows e Linux

Un pericoloso framework malware multipiattaforma, denominato StripedFly, avrebbe infettato più di un milione di host su Windows e Linux e sarebbe riuscito a eludere i controlli di sicurezza per cinque anni. Ciò è quanto scoperto dai ricercatori Kaspersky i quali, soltanto lo scorso anno, sono riusciti a scoprire la vera natura di questo framework, classificato come un semplice miner di criptovaluta Monero. Come riportato sul blog ufficiale di Kaspersky: “il payload del malware comprende più moduli, consentendo all’attore di agire come APT, come miner di criptovalute e persino come gruppo di ransomware. In particolare, la criptovaluta Monero estratta da questo miner ha raggiunto il suo valore massimo a 542,33 dollari il 9 gennaio 2018. Si tratta di un valore altissimo rispetto ai 10 dollari del 2017. Nel 2023, ha mantenuto un valore di circa 150 dollari”. Questo framework consentirebbe ai cybercriminali di spiare le vittime e rubare dati sensibili.

StripedFly: come funziona il malware spia che ruba i dati sensibili

StripedFly si caratterizza per i sofisticati meccanismi di occultamento del traffico, basati su TOR, aggiornamento automatizzato da piattaforme affidabili, capacità di diffusione simili a worm e un’exploit EternalBlue SMBv1 personalizzato. La prima versione conosciuta di StripedFly risalirebbe al 2016. Kaspersky ha scoperto questo framework grazie allo shellcode della piattaforma inserito nel processo WININIT.EXE, ovvero un processo legittimo di Windows che gestisce l’inizializzazione dei vari sottosistemi. Dopo aver esaminato il codice inserito, i ricercatori hanno rilevato che questo malware scarica ed esegue file aggiuntivi, come script PowerShell, da servizi di hosting legittimi come Bitbucket, GitHub e GitLab, inclusi gli script PowerShell. Il payload finale di StripedFly (system.img) presenta un client di rete TOR leggero e personalizzato per proteggere le comunicazioni di rete dalle intercettazioni, la possibilità di disabilitare il protocollo SMBv1 e di diffondersi ad altri dispositivi Windows e Linux sulla rete utilizzando SSH ed EternalBlue.

I cybercriminali sono riusciti a spiare indisturbatamente le proprie vittime. Il malware ottiene credenziali ogni due ore, rubando dati sensibili, come password WiFi o d’accesso al sito web e dati personali (nome, indirizzo, numero di telefono, azienda, ecc.). Inoltre, il malware può acquisire screenshot del device la vittima senza essere rilevato, ottenere un controllo significativo sul dispositivo e persino registrare l'input del microfono. Per difendersi da questo tipo di attacchi, Kaspersky consiglia di aggiornare regolarmente il sistema operativo e il software antivirus. Inoltre, bisogna fare attenzione alle e-mail, messaggi in cui vengono richiesti dati sensibili e non cliccare su link o allegati sospetti.