Ciberseguridad 360 | Malware StripeFly desapercibido durante 5 años infectó 1 millón de dispositivos

Flujo de infecci�n en el host de Windows

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado pasar desapercibida durante m�s de cinco a�os, infectando no menos de un mill�n de dispositivos en todo el mundo en el proceso.

Esto es seg�n los hallazgos de Kaspersky, que ha denominado la amenaza StripeFly, describi�ndola como un "intrincado marco modular que soporta tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detect� las muestras por primera vez en 2017, dijo que el minero es parte de una entidad mucho m�s grande que emplea un exploit EternalBlue SMBv1 personalizado atribuido a Equation Group para infiltrarse en sistemas de acceso p�blico.

El shellcode malicioso, entregado a trav�s del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, as� como ejecutar scripts de PowerShell. Tambi�n admite una colecci�n de funciones ampliables similares a complementos para recopilar datos confidenciales e incluso desinstalarse.

Carpeta de descargas del repositorio de Bitbucket

El c�digo shell de la plataforma se inyecta en el proceso wininit.exe, un proceso leg�timo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicializaci�n de varios servicios.

"La carga �til del malware en s� est� estructurada como un c�digo ejecutable binario monol�tico dise�ado para admitir m�dulos conectables para ampliar o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe t�cnico.

"Viene equipado con un t�nel de red TOR incorporado para la comunicaci�n con servidores de comando, junto con funcionalidad de actualizaci�n y entrega a trav�s de servicios confiables como GitLab, GitHub y Bitbucket, todos usando archivos cifrados personalizados".

Otros m�dulos esp�a notables le permiten recopilar credenciales cada dos horas, realizar capturas de pantalla en el dispositivo de la v�ctima sin ser detectado, registrar la entrada del micr�fono e iniciar un proxy inverso para ejecutar acciones remotas.

Al lograr un punto de apoyo exitoso, el malware procede a deshabilitar el protocolo SMBv1 en el host infectado y propaga el malware a otras m�quinas usando un m�dulo de desparasitaci�n a trav�s de SMB y SSH, utilizando claves recopiladas en los sistemas pirateados.

StripeFly logra persistencia modificando el Registro de Windows o creando entradas en el programador de tareas si el int�rprete de PowerShell est� instalado y hay acceso administrativo disponible. En Linux, la persistencia se logra mediante un servicio de usuario systemd, un archivo .desktop de inicio autom�tico o modificando archivos /etc/rc*, perfil, bashrc o inittab.

Tambi�n se descarg� un minero de criptomonedas Monero que aprovecha las solicitudes DNS sobre HTTPS (DoH) para resolver los servidores del grupo, agregando una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como se�uelo para evitar que el software de seguridad descubra todo el alcance de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como archivos binarios cifrados en varios servicios de alojamiento de repositorios de c�digo, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de atender la carga �til de infecci�n inicial tanto en Windows como en Linux, buscar nuevas actualizaciones y, en �ltima instancia, actualizar el malware.

La comunicaci�n con el servidor de comando y control (C2), que est� alojado en la red TOR, se realiza mediante una implementaci�n ligera y personalizada de un cliente TOR que no se basa en ning�n m�todo documentado p�blicamente.

"El nivel de dedicaci�n demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impuls� el desarrollo de un proyecto �nico y que requiri� mucho tiempo: la creaci�n de su propio cliente TOR."

Otra caracter�stica sorprendente es que estos repositorios act�an como mecanismos alternativos para que el malware descargue los archivos de actualizaci�n s�lo cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubri� adem�s una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de c�digo fuente con StripeFly, salvo la ausencia del m�dulo de infecci�n SMBv1. Se dice que ThunderCrypt se utiliz� contra objetivos en Taiw�n en 2017.

Los or�genes de StripeFly siguen siendo desconocidos actualmente, aunque la sofisticaci�n del marco y sus paralelos con EternalBlue exhiben todas las caracter�sticas de un actor de amenaza persistente avanzada (APT).

Vale la pena se�alar que, si bien la filtraci�n del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versi�n identificada de StripeFly que incorpora EternalBlue data del 9 de abril de 2016, hace un a�o. Desde la filtraci�n, el exploit EternalBlue ha sido reutilizado por equipos de pirater�a norcoreanos y rusos para difundir el malware WannaCry y Petya .

Fuente: thehackernews.com