Специалисты Лаборатории Касперского выявили StripedFly — скрытное вредоносное ПО, с 2016 года выдающее себя за программу для майнинга криптовалют.
Скрываясь под личиной криптовалютного майнера, зловред StripedFly скомпрометировал более миллиона операционных систем Windows и Linux по всему миру. Команда специалистов по кибербезопасности начала свое расследование в отношении StripedFly в 2022 году вследствие обнаруженных аномалий, которые приводили к изменению некоторых функций в ОС Windows.
Это просто еще один майнер криптовалюты… Никто бы даже не заподозрил, что вредоносная программа для майнинга была всего лишь маской, скрывающейся за сложной модульной структурой, поддерживающей как Linux, так и Windows. Он оснащен встроенным сетевым туннелем TOR для связи с серверами управления, а также функциями обновления и доставки через надежные сервисы, такие как GitLab, GitHub и Bitbucket, все с использованием пользовательских зашифрованных архивов. Количество усилий, затраченных на создание фреймворка, поистине поразительно, и его раскрытие было совершенно ошеломляющим.
— Kaspersky
Поразительным открытием стало обнаружение того, что StripedFly использует EternalBlue — эксплойт, изначально разработанный Агентством национальной безопасности США (АНБ), который получил широкую известность после использования его в 2017 году в атаках вируса-вымогателя WannaCry, поразивших множество систем Windows по всему миру.
StripedFly использует свой уникальный вариант EternalBlue для проникновения в непропатченные системы Windows, откуда он может распространяться через сеть по машинам, в т.ч. с ОС Linux. Попав в систему, он способен собрать широкий спектр конфиденциальной информации, включая данные для входа в систему и персональные данные.
Происхождение StripedFly остается загадкой. Хотя в нем используются те же методы, что и в EternalBlue, этот код был обнародован только в апреле 2017 года группой "Shadow Brokers". Лаборатория Касперского сообщила, что самое раннее обнаружение StripedFly датируется апрелем 2016 года. Кроме того, версия этого загадочного вредоносного ПО фигурировала в атаке с использованием вируса-вымогателя под названием ThunderCrypt.
В начале 2017 года Microsoft выпустила патч с защитой от EternalBlue, который также работает против StripedFly. К сожалению, использование устаревших операционных систем является довольно распространенным явлением на протяжении многих лет, поэтому на StripedFly удалось заразить более миллиона устройств.
