Millioner af ofre ramt af avanceret malware
Kaspersky, et globalt cybersikkerheds- og privatlivsfirma, har opdaget avanceret malware, der har påvirket over en million ofre siden 2017.
Malwaren, der går under navnet “StripedFly”, udgav sig oprindeligt for at være en kryptominer, men viste sig senere at være en kompleks multifunktionel ormefremkaldende ramme. Ifølge en rapport offentliggjort af Kaspersky i torsdags, har StripedFly inficeret over en million Windows- og Linux-computere i løbet af fem år.
“StripedFly er udstyret med en indbygget TOR netværkstunnel til kommunikation med kommandoservere samt opdaterings- og leveringsfunktionalitet via troværdige tjenester som GitLab, GitHub og Bitbucket, alt sammen ved hjælp af brugerdefinerede krypterede arkiver,” udtalte Kaspersky i rapporten.
Kaspersky-forskere opdagede den skadelige ramme sidste år og bemærkede, at arbejdet med at skabe rammen var “bemærkelsesværdigt.” “I 2022 stødte vi på to uventede fund inden for WININIT.EXE-processen af en ældre kode, som tidligere blev observeret i Equation malwaren,” skrev forskerne. “Efterfølgende analyse afslørede tidligere forekomster af mistænkelig kode helt tilbage fra 2017.”
Malwaren blev fejlagtigt klassificeret som bare en Monero kryptominer, og det er uklart, om dette blev brugt til indtægtsgenerering eller cyberespionage. Eksperter fastholdt, at minedelen var den vigtigste faktor, der gjorde det muligt for malwaren at undgå opdagelse i lang tid.
Resultaterne tilføjede, at angriberen bag malwaren har erhvervet omfattende evner til at spionere på ofre. Malwaren “indsamler en række følsomme oplysninger fra alle aktive brugere,” tilføjede den.
Den udtrækker websidelogin-brugernavne og -adgangskoder samt personlige autofuldbødskab, herunder navn, adresse, telefonnummer, virksomhed og jobtitel. “Den fanger også kendte Wi-Fi-netværksnavne og de tilknyttede adgangskoder,” afslørede rapporten.
StripedFlys oprindelse er ukendt, men yderligere undersøgelser viser, at malwaren bruger lignende teknikker som EternalBlue ‘SMBv1’-udnyttelse for at infiltrere offerets systemer.
EternalBlue blev lækket i april 2017 og fortsætter med at true sårbare Windows-servere. Det berygtede udnyttelsesmiddel blev oprettet og brugt af en NSA hackinggruppe kendt som Equation Group.
Kaspersky afslørede, at StripedFly først blev opdaget i april 2016, et år før EternalBlue-opdagelsen. I begyndelsen af 2017 udgav Microsoft en patch for EternalBlue-udnyttelsen.
“StripedFly blev skabt for lang tid siden og har uden tvivl opfyldt sin tilsigtede formål ved succesfuldt at undgå opdagelse gennem årene. Der er blevet undersøgt mange fremtrædende og sofistikerede ondsindede software, men denne skiller sig ud og fortjener virkelig opmærksomhed og anerkendelse,” konkluderede rapporten.
