El malware StripedFly Operó sin ser detectado durante 5 años, infectando 1 millón de dispositivos

-

Una cepa avanzada de malware, disfrazada como minero de criptomonedas, logró permanecer fuera del radar por más de cinco años, infectando al menos un millón de dispositivos en todo el mundo en el proceso.

Según los hallazgos de Kaspersky, que ha denominado la amenaza como StripedFly, la describen como un "intrincado marco modular que es compatible tanto con Linux como con Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, indicó que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido al Equation Group para infiltrar sistemas públicamente accesibles.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket y ejecutar scripts de PowerShell. También admite una colección de características expandibles tipo plug-in para recopilar datos sensibles e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inyecta en el proceso wininit.exe, un proceso legítimo de Windows que es iniciado por el gestor de arranque (BOOTMGR) y se encarga de la inicialización de varios servicios.

"La carga útil del malware está estructurada como un código binario ejecutable monolítico diseñado para admitir módulos enchufables para extender o actualizar su funcionalidad", señalaron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Está equipado con un túnel de red TOR integrado para la comunicación con servidores de comandos, junto con la funcionalidad de actualización y entrega a través de servicios de confianza como GitLab, GitHub y Bitbucket, todos usando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono y crear un proxy inverso para ejecutar acciones remotas.

Una vez que obtiene un punto de apoyo exitoso, el malware procede a deshabilitar el protocolo SMBv1 en el host infectado y propagar el malware a otras máquinas utilizando un módulo de gusanos a través de SMB y SSH, utilizando claves recolectadas en los sistemas hackeados.

StripedFly logra persistencia al modificar el Registro de Windows o al crear entradas en el programador de tareas si el intérprete de PowerShell está instalado y se dispone de acceso administrativo. En Linux, la persistencia se logra mediante un servicio de usuario de systemd, un archivo .desktop con autoarranque o mediante la modificación de archivos /etc/rc*, profile, bashrc o inittab.

También se descarga un minero de criptomonedas Monero que aprovecha las solicitudes DNS sobre HTTPS (DoH) para resolver los servidores de la piscina, añadiendo una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra la verdadera magnitud de las capacidades del malware.

En un esfuerzo por minimizar el impacto, los componentes del malware que se pueden descargar se almacenan como binarios cifrados en varios servicios de alojamiento de repositorios de código como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil de infección inicial en Windows y Linux, verificar nuevas actualizaciones y, finalmente, actualizar el malware.

La comunicación con el servidor de control y comando (C2), que está alojado en la red TOR, se lleva a cabo utilizando una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método públicamente documentado.

"El nivel de dedicación demostrado por esta funcionalidad es notable", señalaron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que consume mucho tiempo: la creación de su propio cliente TOR".

Otra característica destacada es que estos repositorios actúan como mecanismos de respaldo para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) se vuelve irresponsiva.

Kaspersky también descubrió una familia de ransomware llamada ThunderCrypt que comparte similitudes significativas en el código fuente con StripedFly, con la salvedad de la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly permanecen actualmente desconocidos, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la versión identificada más temprana de StripedFly que incorporaba EternalBlue data un año antes, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por grupos de piratas informáticos norcoreanos y rusos para propagar los malwares WannaCry y Petya.

Dicho esto, también hay evidencia de que grupos de piratas informáticos chinos podrían haber tenido acceso a algunos de los exploits del Equation Group antes de que se filtraran en línea, según lo revelado por Check Point en febrero de 2021.

Las similitudes con el malware asociado al Equation Group, según Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las vistas en STRAITBIZARRE (SBZ), otra plataforma de espionaje cibernético utilizada por el colectivo adversario supuestamente vinculado a EE. UU.

Este desarrollo se produce casi dos años después de que los investigadores del Laboratorio Pangu de China detallaran una puerta trasera "de primer nivel" llamada Bvp47 que presuntamente fue utilizada por el Equation Group en más de 287 objetivos que abarcan múltiples sectores en 45 países.

Es innegable que un aspecto crucial de la campaña que continúa siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Aunque el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo en su lugar", indicaron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y profesionalmente diseñado serviría un propósito tan trivial, dada toda la evidencia en contrario".


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más