C’è un nuovo malware che ha potuto agire indisturbato negli ultimi 5-6 anni, riuscendo così a infettare oltre 1 milione di dispositivi. Si chiama StripedFly ed è stato scovato per la prima volta lo scorso anno da alcuni ricercatori di Kaspersky, che ne hanno trovato tracce risalenti al 2017, sia su sistemi Windows che Linux. Si stima che abbia infettato 220.000 sistemi lo scorso anno, mentre uno dei repository che distribuisce il payload ha registrato 60.000 download (e quindi 60.000 infezioni) tra aprile 2023 e settembre 2023.
Inizialmente, StripedFly era stato erroneamente identificato come un miner di Monero, ma è probabile che questo modulo fosse inserito come diversivo. In realtà il malware punta al furto di dati ed è molto più sofisticato: si aggiorna automaticamente, sfrutta meccanismi di occultamento del traffico basati su TOR, si diffonde come un worm e sfrutta una vulnerabilità SMBv1 di EternalBlue personalizzata, creata prima che la falla venisse risolta. Non è ancora chiaro per quali scopi sia stato usato, ma secondo i ricercatori è un malware identificabile come Advanced Persistent Threat.
Kaspersky ha scoperto StripedFly per la prima volta grazie a codice shell iniettato in WININIT.EXE, un processo legittimo di Windows che gestisce l’inizializzazione di diversi sottosistemi. Dopo un’indagine, i ricercatori di sicurezza hanno scoperto che il codice scarica ed eseguie file aggiuntivi, tra cui script PowerShell, da servizi di hosting del tutto legittimi, tra cui GitHub, GitLab e Bitbucket.
Il payload di StripedFly è dotato di un client di rete TOR personalizzato per proteggere le comunicazioni dall’intercettazione, dato che anche il server di controllo si trova su rete TOR. Il malware può disabilitare il protocollo SMBv1 e si diffonde su altri dispositivi Windows e Linux sfruttando SSH ed EternalBlue.
Per assicurare la persistenza nel sistema, su Windows StripedFly adatta il suo comportamento in base ai privilegi con cui è eseguito e alla presenza di PowerShell. Se quest’ultimo è assente, genera un file nascosto nella cartella %APPDATA%, mentre se è presente, esegue lo script per creare un’attività pianificata o per modificare chiavi del registro di sistema. Su Linux invece rinoma sé stesso “sd-pam” e sfrutta systemd, o modifica alcuni file di profilo e di avvio, come /etc/rc*, profile, bashrc o inittab.