Overslaan naar hoofdinhoud

StripedFly: een miner die geavanceerde code en spionagemogelijkheden verbergt

1 november 2023

Kaspersky-experts hebben een voorheen onbekende, zeer geraffineerde StripedFly-malware ontdekt die wereldwijd meer dan een miljoen slachtoffers treft sinds ten minste 2017. Aanvankelijk deed de malware zich voor als een cryptocurrency miner, maar het bleek een complexe malware te zijn met een multifunctioneel wormable framework.

In 2022 ontdekte Kaspersky's Global Research and Analysis Team twee onverwachte detections binnen het WININIT.EXE-proces. Deze werden veroorzaakt door de codesequenties die eerder waren waargenomen in de Equation-malware. Deze activiteit was op zijn minst al sinds 2017 aan de gang en had eerdere analyzes effectief omzeild door het eerder verkeerd te classificeren als een cryptocurrency miner. Na een uitgebreid onderzoek van het probleem werd ontdekt dat de cryptocurrency miner slechts een onderdeel was van een veel grotere entiteit - een complex, multiplatform, multiplugin kwaadaardig framework.

De payload van de malware bestaat uit meerdere modules, waardoor de actor kan optreden als een APT, een cryptominer en zelfs als een ransomware-groep. Hierdoor worden zijn motieven mogelijk uitgebreid van pure spionage naar financieel gewin. De Monero cryptocurrency die door deze module wordt gemined, bereikte op 9 January 2018 een piekwaarde van 542.33 dollar, terwijl die in 2017 maar 10 dollar waard was. Vanaf 2023 heeft het een waarde van ongeveer $150. Kaspersky-experts benadrukken dat de miningmodule de belangrijkste factor is waardoor de malware detectie voor een langere periode kan ontwijken.

De aanvaller achter deze operatie heeft uitgebreide mogelijkheden om slachtoffers heimelijk te bespioneren. De malware verzamelt elke twee uur inloggegevens en steelt gevoelige data zoals inloggegevens voor websites en WIFI, en identificeert de gegevens van het slachtoffer, waaronder hun functie. Bovendien kan de malware ongemerkt schermafbeeldingen maken op het apparaat van het slachtoffer, aanzienlijke controle over het apparaat krijgen en zelfs microfooninvoer opnemen.

De aanvankelijke infectievector bleef onbekend totdat nader onderzoek door Kaspersky uitwees dat een op maat gemaakte EternalBlue 'SMBv1'-exploit werd gebruikt om de systemen van de slachtoffers te infiltreren. Ondanks de openbaarmaking van de EternalBlue-kwetsbaarheid in 2017 en de daaropvolgende publicatie van een patch door Microsoft (MS17-010), blijft de dreiging groot doordat veel gebruikers hun systemen niet hebben bijgewerkt.

Tijdens de technische analyse van de campagne zagen Kaspersky-experts overeenkomsten met de Equation-malware. Deze omvatten technische indicatoren zoals handtekeningen die worden geassocieerd met de Equation-malware, evenals de coderingsstijl en -praktijken die lijken op die van de StraitBizzare-malware (SBZ). Gebaseerd op downloadtellers weergegeven door de opslagplaats waar de malware wordt gehost, heeft het geschatte aantal doelwitten van StripedFly meer dan een miljoen slachtoffers over de hele wereld bereikt.

'De hoeveelheid moeite die is gestoken in het creëren van dit framework is echt opmerkelijk en de onthulling ervan was verbazingwekkend. Het vermogen van cybercriminelen om zich aan te passen en te evolueren is een constante uitdaging. Daarom is het zo belangrijk voor ons als onderzoekers om onze inspanningen te blijven richten op het blootleggen en verspreiden van geavanceerde cyberbedreigingen, en voor klanten om uitgebreide bescherming tegen cybercriminaliteit niet te vergeten', zegt Sergey Lozhkin, Principal Security Researcher bij Kaspersky's Global Research and Analysis Team (GReAT).

Lees meer over StripedFly op Securelist.com.

StripedFly: een miner die geavanceerde code en spionagemogelijkheden verbergt

Kaspersky-experts hebben een voorheen onbekende, zeer geraffineerde StripedFly-malware ontdekt die wereldwijd meer dan een miljoen slachtoffers treft sinds ten minste 2017. Aanvankelijk deed de malware zich voor als een cryptocurrency miner, maar het bleek een complexe malware te zijn met een multifunctioneel wormable framework.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information