Remises multi-licences
Threat Database Malware Logiciel malveillant StripeFly

Logiciel malveillant StripeFly

Par Mezo en Malware, Stealers
Se traduisent par :
Français

Les experts en cybersécurité ont découvert une souche de malware exceptionnellement avancée appelée StripeFly, jusqu'alors inconnue de la communauté infosec. Ce malware a démontré un impact mondial, ciblant et affectant plus d'un million de victimes depuis au moins 2017. Initialement déguisé en outil d'extraction de cryptomonnaie, il s'est révélé être un malware complexe et polyvalent doté d'un cadre à multiples facettes et auto-propagation. .

StripeFly a peut-être infecté plus d'un million de systèmes

Le framework de malware StripeFly a été découvert suite à sa détection par des chercheurs, qui ont identifié sa présence dans le processus WININIT.EXE, un composant légitime du système d'exploitation Windows responsable du lancement de divers sous-systèmes.

En examinant le code injecté, il est devenu évident que StripeFly lance le téléchargement et l'exécution de fichiers supplémentaires, notamment des scripts PowerShell, à partir de plateformes d'hébergement légitimes telles que Bitbucket, GitHub et GitLab. Une analyse plus approfondie a révélé que le logiciel malveillant a probablement infiltré les appareils via un exploit personnalisé de la vulnérabilité EternalBlue SMBv1, ciblant principalement les ordinateurs exposés à Internet.

La charge utile finale de StripeFly, nommée « system.img », comprend un client réseau TOR léger et propriétaire pour protéger ses communications réseau contre l'interception. Il possède également la capacité de désactiver le protocole SMBv1 et de se propager à d'autres appareils Windows et Linux du réseau à l'aide de SSH et EternalBlue. Le serveur de commande et de contrôle (C2, C&C) de StripeFly fonctionne au sein du réseau TOR, maintenant la communication via des messages de balise fréquents contenant un identifiant de victime unique.

Pour établir la persistance sur les systèmes Windows, StripeFly adapte son approche en fonction du niveau de privilège et de la présence de PowerShell. En l'absence de PowerShell, il génère un fichier caché dans le répertoire %APPDATA%. Lorsque PowerShell est disponible, le malware exécute des scripts pour créer des tâches planifiées ou modifier les clés de registre Windows.

Sous Linux, StripeFly adopte le surnom de « sd-pam ». La persistance sur cette plate-forme est obtenue grâce aux services systemd, au démarrage automatique des fichiers .desktop ou en modifiant divers fichiers de profil et de démarrage, notamment les fichiers /etc/rc*, profile, bashrc ou inittab.

Les données du référentiel Bitbucket chargé de fournir la charge utile de la phase finale aux systèmes Windows suggèrent qu'entre avril 2023 et septembre 2023, près de 60 000 systèmes ont été infectés par StripeFly. Cependant, les chercheurs estiment que le nombre total d’appareils affectés par le framework StripeFly pourrait dépasser le million.

De nombreux modules spécialisés trouvés dans le logiciel malveillant StripeFly

Le malware est conçu comme un exécutable binaire unique et autonome avec des modules adaptables, lui offrant une flexibilité opérationnelle généralement associée aux opérations Advanced Persistent Threat (APT) :

    • Stockage de configuration : ce module stocke en toute sécurité la configuration cryptée des logiciels malveillants.
    • Mise à niveau/Désinstallation : responsable de la gestion des mises à jour ou de la suppression en fonction des commandes reçues du serveur Command-and-Control (C2).
    • Proxy inverse : permet des actions à distance au sein du réseau de la victime.
    • Gestionnaire de commandes diverses : exécute diverses commandes, notamment la capture de captures d'écran et l'exécution de shellcode.
    • Credential Harvester : analyse et récupère les données utilisateur sensibles telles que les mots de passe et les noms d'utilisateur.
    • Tâches répétables : effectue des tâches spécifiques dans des conditions prédéfinies, telles que l'enregistrement audio à partir du microphone.
    • Module Recon : envoie des informations système complètes au serveur C2.
    • SSH Infector : utilise les informations d’identification SSH collectées pour infiltrer d’autres systèmes.
    • Infecteur SMBv1 : se propage à d'autres systèmes Windows en exploitant une vulnérabilité EternalBlue personnalisée.
    • Module de minage Monero : exploite la crypto-monnaie Monero, se déguisant en processus "chrome.exe".

L'inclusion du module de mineur de crypto-monnaie Monero est considérée comme une tentative de détourner l'attention, car les principaux objectifs des acteurs de la menace tournent autour du vol de données et de l'exploitation du système, facilités par les autres modules.

 

Tendance

Le plus regardé

Chargement...