Indétectable pendant 5 ans, StripedFly a infecté plus d’un million de PC sous Windows et Linux
Le logiciel malveillant nommé StripedFly a été actif pendant 5 ans avant d'être détecté ! Au total, il a infecté plus d'un million de machines sous Windows et Linux ! Voici ce que l'on sait sur cette menace.
Kaspersky a fait la découverte de StripedFly, un malware actif depuis 2017 qui se faisait passer pour un mineur de cryptomonnaie Monero. D'après cet article de l'éditeur Kaspersky, StripedFly a infecté plus d'un million de machines à travers le monde : "D'après les compteurs de téléchargement affichés par le dépôt où le logiciel malveillant est hébergé, le nombre estimé de cibles de StripedFly s'élève à plus d'un million de victimes dans le monde entier. - Ce malware est capable d'infecter les machines Windows et Linux.
StripedFly est un malware sophistiqué qui est parvenu à rester indétectable grâce à différentes techniques, notamment en masquant son trafic via le réseau TOR pour communiquer avec le serveur C2 des cybercriminels. Il est capable de se mettre à jour lui-même en récupérant des données sur plusieurs fournisseurs de confiance (GitLab, GitHub et Bitbucket).
Pour se propager d'une machine à une autre, il agit comme un ver informatique et a exploité massivement la faille de sécurité EternalBlue du protocole SMBv1. D'ailleurs, l'exploit utilisé par les cybercriminels a été mis au point avant même que la vulnérabilité EternalBlue soit divulguée publiquement. Ce n'est pas étonnant, car en 2017, la faille de sécurité EternalBlue a été massivement exploitée par les pirates informatiques.
Kaspersky a mis en ligne un rapport technique complet sur cette menace : "Le premier shellcode détecté se trouvait dans le processus WININIT.EXE, qui a la capacité de télécharger des fichiers binaires à partir de bitbucket[.]org et d'exécuter des scripts PowerShell." - Ceci est bien entendu pour l'infection sous Windows. La chaine d'infection complète est illustrée sur le schéma ci-dessous :
En ce qui concerne l'infection des machines Linux, le malware utilise le nom de "sd-pam" et il parvient à être persistant sur la machine en utilisant le gestionnaire de services systemd ou en modifiant les fichiers de démarrage, notamment ceux liés aux profils (/etc/rc*, profile, .bashrc ou inittab).
Kaspersky a repéré un ensemble de modules associés au malware StripedFly, notamment pour collecter et exfiltrer des données sur la machine infectée (dont des mots de passe et noms d'utilisateur), mais aussi pour exécuter d'autres codes malveillants, prendre des captures d'écran, exécuter des tâches à intervalle régulier, ou encore mimer un mineur de cryptomonnaie Monero.
Par ailleurs, il est intéressant de noter que StripedFly communique avec le même serveur C2 que le ransomware ThunderCrypt, situé à l'adresse ghtyqipha6mcwxiz[.]onion:1111.
