I ricercatori di cybersecurity di Kaspersky hanno scoperto una minaccia malware “impressionante” che si nasconde in bella vista da mezzo decennio. Nominato StripedFly, le prime prove dell’attività del malware risalgono al 2017, afferma Kaspersky. In un certo momento, è stato scoperto ma scartato come un semplice miner di criptovaluta.
Capacità di StripedFly
Tuttavia, una nuova indagine ha mostrato che StripedFly è capace di molto più che semplicemente minare criptovalute: può eseguire comandi a distanza, catturare screenshot ed eseguire shellcodes, rubare password e altri dati sensibili, registrare suoni utilizzando il microfono integrato, spostarsi su endpoint adiacenti utilizzando credenziali precedentemente rubate, abusare dell’exploit EternalBlue per infiltrarsi in altri sistemi e, infine, minare Monero.
Minare Monero come diversivo
Infatti, il mining di Monero è ora visto come un tentativo di diversione, per distrarre i ricercatori e impedire loro di analizzare ulteriormente il codice. La tattica sembra aver funzionato, poiché un milione di dispositivi sono stati presumibilmente compromessi nel frattempo. La parola chiave qui è “presumibilmente” perché nemmeno Kaspersky può saperlo con certezza. I soli dati effettivi che i ricercatori sono riusciti a ottenere provengono da un repository Bitbucket che ha fornito il payload finale, e mostra 220.000 infezioni Windows dal febbraio 2022. Poiché il repository è stato creato nel 2018, i dati precedenti non sono disponibili. Ma Kaspersky stima almeno un milione di infezioni, soprattutto perché StripedFly prende di mira sia gli endpoint Windows che Linux.
Chi sta dietro StripedFly?
Non ci sono informazioni su chi potrebbe essere dietro questa enorme piattaforma. Kaspersky non dice esplicitamente se si tratta di un attore sponsorizzato da uno stato o meno, ma sostiene che si tratta molto probabilmente del lavoro di una minaccia persistente avanzata (APT) e la maggior parte di queste è sponsorizzata dallo stato, concorderebbero i ricercatori. “Il payload del malware comprende diversi moduli, permettendo all’attore di agire come un APT, come un miner di cripto e persino come un gruppo di ransomware”, afferma Kaspersky nel suo rapporto.