Rabatte für mehrere Lizenzen
Threat Database Malware StripedFly-Malware

StripedFly-Malware

Von Mezo in Malware, Stealers
Übersetzen Sie in:
Deutsch

Cybersicherheitsexperten haben einen außergewöhnlich fortschrittlichen Malware-Typ namens „StripedFly“ entdeckt, der der Infosec-Community bisher unbekannt war. Diese Schadsoftware hat eine weltweite Wirkung gezeigt und hat seit mindestens 2017 mehr als eine Million Opfer ins Visier genommen und betroffen. Ursprünglich als Kryptowährungs-Mining-Tool getarnt, hat sich herausgestellt, dass es sich um eine komplexe und vielseitige Schadsoftware handelt, die über ein vielschichtiges, sich selbst verbreitendes Framework verfügt .

StripedFly hat möglicherweise über eine Million Systeme infiziert

Das Malware-Framework „StripedFly“ kam ans Licht, nachdem es von Forschern entdeckt wurde, die sein Vorhandensein im Prozess WININIT.EXE identifizierten, einer legitimen Komponente des Windows-Betriebssystems, die für die Initiierung verschiedener Subsysteme verantwortlich ist.

Bei der Untersuchung des eingeschleusten Codes wurde deutlich, dass StripeFly den Download und die Ausführung zusätzlicher Dateien, insbesondere PowerShell-Skripte, von legitimen Hosting-Plattformen wie Bitbucket, GitHub und GitLab initiiert. Weitere Analysen ergaben, dass die Malware wahrscheinlich über einen maßgeschneiderten Exploit der EternalBlue SMBv1-Schwachstelle in die Geräte eindrang und sich dabei vor allem auf mit dem Internet verbundene Computer konzentrierte.

Die endgültige StripeFly-Nutzlast mit dem Namen „system.img“ enthält einen proprietären, leichtgewichtigen TOR-Netzwerk-Client, um die Netzwerkkommunikation vor Abhören zu schützen. Es verfügt außerdem über die Möglichkeit, das SMBv1-Protokoll zu deaktivieren und sich mithilfe von SSH und EternalBlue an andere Windows- und Linux-Geräte im Netzwerk weiterzugeben. Der Command-and-Control-Server (C2, C&C) für StripeFly arbeitet innerhalb des TOR-Netzwerks und hält die Kommunikation über häufige Beacon-Nachrichten aufrecht, die eine eindeutige Opfer-ID enthalten.

Um Persistenz auf Windows-Systemen herzustellen, passt StripeFly seinen Ansatz basierend auf der Berechtigungsebene und dem Vorhandensein von PowerShell an. Ohne PowerShell wird eine versteckte Datei im Verzeichnis %APPDATA% generiert. Wenn PowerShell verfügbar ist, führt die Malware Skripts aus, um geplante Aufgaben zu erstellen oder Windows-Registrierungsschlüssel zu ändern.

Unter Linux übernimmt StripedFly den Spitznamen „sd-pam“. Die Persistenz auf dieser Plattform wird durch Systemd-Dienste, automatisches Starten von .desktop-Dateien oder durch Ändern verschiedener Profil- und Startdateien, einschließlich /etc/rc*-, Profil-, bashrc- oder inittab-Dateien, erreicht.

Daten aus dem Bitbucket-Repository, das für die Bereitstellung der Nutzlast der letzten Stufe an Windows-Systeme verantwortlich ist, deuten darauf hin, dass zwischen April 2023 und September 2023 fast 60.000 Systeme mit StripeFly infiziert wurden. Forscher schätzen jedoch, dass die Gesamtzahl der vom StripeFly-Framework betroffenen Geräte eine Million überschreiten könnte.

Zahlreiche spezialisierte Module in der StripeFly-Malware gefunden

Die Malware ist als einzelne, eigenständige ausführbare Binärdatei mit anpassbaren Modulen konzipiert und bietet ihr die betriebliche Flexibilität, die typischerweise mit APT-Operationen (Advanced Persistent Threat) verbunden ist:

  • Konfigurationsspeicher: Dieses Modul speichert die verschlüsselte Malware-Konfiguration sicher.
  • Upgrade/Deinstallation: Verantwortlich für die Verwaltung von Updates oder Entfernung basierend auf Befehlen, die vom Command-and-Control-Server (C2) empfangen werden.
  • Reverse Proxy: Ermöglicht Remote-Aktionen innerhalb des Netzwerks des Opfers.
  • Sonstiger Befehlshandler: Führt verschiedene Befehle aus, einschließlich der Aufnahme von Screenshots und der Ausführung von Shellcode.
  • Credential Harvester: Scannt und ruft vertrauliche Benutzerdaten wie Passwörter und Benutzernamen ab.
  • Wiederholbare Aufgaben: Führt bestimmte Aufgaben unter vordefinierten Bedingungen aus, z. B. die Aufnahme von Audio über das Mikrofon.
  • Aufklärungsmodul: Sendet umfassende Systeminformationen an den C2-Server.
  • SSH-Infektor: Nutzt gesammelte SSH-Anmeldeinformationen, um andere Systeme zu infiltrieren.
  • SMBv1-Infektor: Verbreitet sich auf andere Windows-Systeme, indem er eine benutzerdefinierte EternalBlue-Schwachstelle ausnutzt.
  • Monero-Mining-Modul: Schürft die Monero-Kryptowährung und tarnt sich als „chrome.exe“-Prozess.

Die Einbeziehung des Monero-Kryptowährungs-Miner-Moduls wird als Versuch angesehen, die Aufmerksamkeit abzulenken, da sich die Hauptziele der Bedrohungsakteure auf Datendiebstahl und Systemausnutzung drehen, die durch die anderen Module erleichtert werden.

Im Trend

Am häufigsten gesehen

Wird geladen...