Ott 26, 2023 Attacchi, In evidenza, Minacce, News, RSS

I ricercatori di Kaspersky hanno individuato StripedFly, un malware rimasto sconosciuto fino a ora che ha colpito più di un milione di vittime dal 2017. 

Nel 2022 il Global Research & Analysis Team della compagnia di sicurezza aveva scoperto due comportamenti nel processo WINNIT.EXE per l’avvio di Windows innescati da sequenze di codice già osservate nel malware Equation. L’attività, in corso dal 2017, inizialmente  era stata classificata come criptominer; in seguito, grazie ad analisi più approfondire, i ricercatori si sono accorti che si trattava di un framework molto più complesso.

StripedFly è composto da diversi moduli che permettono agli attaccanti di operare come APT e di eseguire criptominer e ransomware. Il modulo di mining è il componente principale del malware e, oltre a estrarre la criptovaluta Monero, si occupa delle operazioni necessarie a eludere i controlli dei sistemi di rilevamento.

Grazie alla capacità di agire indisturbato per lunghi periodi, il framework consente ai cybercriminali di spiare le vittime e ottenere informazioni sensibili. Il malware raccoglie le credenziali di accesso ai siti e al Wi-Fi ogni due ore; inoltre, è in grado catturare schermate sul dispositivo, prendere il controllo delle risorse e registrare i suoni dal microfono.

Gli attaccanti hanno utilizzato un exploit EternalBlue “SMBv1” personalizzato per infiltrarsi nei sistemi delle vittime. EternalBlue, lo stesso usato da WannaCry, sfrutta una vulnerabilità presente nel protocollo Server Message Block (SMB) di Windows. Nonostante il bug sia stato patchato nel 2017, molti utenti non ancora hanno aggiornato i propri dispositivi.

“L’impegno profuso nella creazione di questo framework è davvero notevole e la sua presentazione è stata davvero sorprendente. La capacità dei criminali informatici di adattarsi ed evolversi è una sfida costante, ed è per questo che è così importante che noi ricercatori continuiamo a dedicare i nostri sforzi alla scoperta e alla diffusione di minacce informatiche sofisticate, e che i clienti non dimentichino la protezione completa dal crimine informatico” ha affermato Sergey Lozhkin, Principal Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Gli esperti di sicurezza raccomandano di aggiornare regolarmente le applicazioni, il sistema operativo e l’antivirus e di fare attenzione a e-mail o messaggi sospetti che contengono link o allegati.

• Criptominer, framework malware, Kaspersky, malware, Ransomware, stripedfly