ЛК обнаружил «элегантное» вредоносное ПО, напоминающее код АНБ

Специалисты Лаборатории Касперского выявили сложную вредоносную кампанию под названием StripedFly, ранее неизвестную и крайне запутанную. Начиная с 2017 года, операция затронула более чем миллион пользователей по всему миру. Угроза, хоть и угасающая, все еще активна и представляет серьезную опасность.

На протяжении длительного времени считалось, что StripedFly – это простой криптомайнер, однако более глубокий анализ показал, что это намного более сложная программа с многофункциональным фреймворком. Вредоносное ПО способно выполнять различные виды атак и имеет множество модулей, что делает его многогранным инструментом для злоумышленников.

В 2022 году эксперты из Global Research and Analysis Team (GReAT) из Лаборатории Касперского выявили два новых инцидента, связанных с StripedFly. Оба случая были связаны с системным процессом wininit.exe в операционной системе Windows. Следы привели к обнаружению последовательности кода, ранее ассоциированной с известным вредоносным ПО Equation. В результате выяснилось, что StripedFly – это лишь часть более сложной структуры со множеством плагинов, предоставляющей киберпреступникам множество возможностей.

Вредоносный модуль имеет множество опций, позволяющих его использовать в рамках APT-атак, для добычи криптовалюты или даже для вымогательских целей. Это означает, что злоумышленники могут иметь разные мотивы, начиная от финансовой выгоды и заканчивая шпионажем. Интересно, что модуль для майнинга криптовалюты Monero, внедренный в StripedFly, действительно смог долгое время оставаться незамеченным благодаря своей эффективности.

Помимо этого, StripedFly предоставляет злоумышленникам широкий спектр возможностей для скрытого шпионажа. Вредоносный софт собирает различные учётные данные, включая логины и пароли, а также личные данные пользователей. Кроме того, программа может делать скриншоты экрана и даже записывать аудио с микрофона.

Исследователи также раскрыли, что StripedFly распространяется через эксплойт EternalBlue уязвимости в протоколе Microsoft Server Message Block (SMB), который был обнаружен в 2017 году, хотя Microsoft выпустила исправление этой уязвимости. Однако не все пользователи обновили свои системы, поэтому угроза остается актуальной.

Сходство с Equation выявлено через различные индикаторы, включая сигнатуры, стиль программирования и методы атак. По данным Лаборатории Касперского, StripedFly нацелена на более чем миллион пользователей по всему миру.

В Лаборатории Касперского отметили, что количество усилий, приложенные для создания фреймворка, действительно впечатляют. Основная сложность для ИБ-специалистов заключается в том, что злоумышленники постоянно адаптируются к меняющимся условиям. Поэтому исследователям важно объединять усилия по выявлению сложных киберугроз, а пользователям — не забывать о комплексной защите от кибератак.