Эксперты из «Лаборатории Касперского» продолжают разгадывать загадки киберугроз, и недавно они обнаружили нечто удивительное и опасное – майнер-червь, получивший название StripedFly. Под видом обычного криптомайнера, этот вредонос скрывал в себе сложный код и множество возможностей для шпионажа. На первый взгляд, StripedFly мог показаться простым, но его истинная сущность оказалась намного более многогранной.
Загадка StripedFly
История StripedFly началась в 2017 году, когда вредонос начал атаковать пользователей по всему миру. Поначалу многие исследователи ошибочно считали его обычным криптомайнером, однако, более глубокий анализ показал, что это нечто гораздо более сложное. Эксперты из GReAT обнаружили два новых инцидента, связанных с StripedFly, в 2022 году. Эти инциденты использовали системный процесс wininit.exe в Windows для своих злонамеренных целей.
Что делает StripedFly таким особенным? Оказалось, что он обладает многофункциональным фреймворком с множеством плагинов, что делает его универсальным инструментом для киберпреступников. Его функциональность включает в себя не только майнинг криптовалюты, но и возможности для шпионажа, а также программу-вымогатель. Это означает, что атакеры могут использовать StripedFly для различных целей, от финансовой выгоды до сбора ценных данных.
Зловредное использование криптовалюты Monero
Одной из ключевых особенностей StripedFly является его способность добывать криптовалюту Monero. На пике своей стоимости 9 января 2018 года Monero достигала $542,33 за монету, что делало его добычу выгодной. Сравнивая это с 2017 годом, когда Monero стоила около $10, видно, насколько выгодной могла быть эта операция. Даже в 2023 году, Monero остается ценной криптовалютой, с уровнем в $150.
Множество возможностей для шпионажа
Однако, StripedFly не ограничивается только добычей криптовалюты. Он также имеет возможность собирать учётные данные и информацию о своих жертвах. Это включает в себя логины и пароли, а также личные данные, такие как имя, адрес, номер телефона, место работы и должность. Кроме того, StripedFly может незаметно делать снимки экрана устройства жертвы, получать полный контроль над системой и даже записывать голосовые данные с микрофона.
Использование уязвимости EternalBlue
Важно отметить, что источником первичного заражения компьютера StripedFly является уязвимость EternalBlue, которая была обнаружена ещё в 2017 году. Майкрософт выпустила исправление MS17-010, но угроза остается актуальной, так как не все пользователи обновляют свои системы вовремя.
Сходство с вредоносным ПО Equation
В ходе технического анализа, эксперты «Лаборатории Касперского» обнаружили сходство StripedFly с вредоносным ПО Equation. Технические индикаторы, стиль программирования и методы, используемые в StripedFly, напоминают то, что было использовано во вредоносном ПО StraitBizzare (SBZ). Эти сходства говорят о высокой степени профессионализма и сложности этой киберугрозы.
Заключение
StripedFly представляет собой серьезную угрозу для пользователей по всему миру. Сложность его структуры и множество функций делают его трудно обнаруживаемым. Для защиты от подобных целевых атак, эксперты «Лаборатории Касперского» рекомендуют регулярно обновлять операционную систему и программное обеспечение, быть осторожными с подозрительными сообщениями и электронными письмами, а также использовать специализированные инструменты для обнаружения и реагирования на подобные инциденты. Совместные усилия и постоянное обучение – важные факторы в борьбе с современными киберугрозами.