Les experts de Kaspersky ont découvert un malware très sophistiqué jusqu’alors inconnu baptisé StripedFly, qui s’est propagé à l’échelle mondiale.
Depuis au moins 2017, StripedFly a affecté plus d'un million de victimes. Agissant initialement comme un mineur de crypto-monnaie, il s'est avéré être un malware complexe doté d'une infrastructure multifonctionnelle auto-réplicable.
En 2022, l'équipe Global Research & Analysis Team (GReAT) de Kaspersky a fait deux découvertes inattendues au sein du processus WININIT.EXE, provoquées par les séquences de code observées précédemment dans le malware Equation. En activité depuis au moins 2017, StripedFLy avait réussi à contourner les analyses antérieures, ayant été identifié à tort comme un mineur de crypto-monnaie. Après un examen approfondi du problème, il a été découvert que le mineur de crypto-monnaie n'était qu'un composant d'une entité beaucoup plus grande : une infrastructure malveillante complexe, multiplateforme et multiplugin.
La charge du logiciel malveillant comprend plusieurs modules, conférant à l'attaquant la capacité d'agir comme un APT, un mineur de crypto-monnaie, voire même comme un groupe de ransomware. Cette polyvalence élargit les motivations potentielles de l'attaquant, passant de la recherche de gains financiers à l’espionnage. On note en particulier que la crypto-monnaie Monero minée par ce module a atteint sa valeur maximale de 542,33 dollars le 9 janvier 2018, alors que sa valeur en 2017 était d'environ 10 dollars. En 2023, elle maintient sa valeur à environ 150 dollars. Les experts de Kaspersky soulignent le rôle prépondérant du module de minage, qui demeure le principal facteur permettant au malware de rester indétecté sur une durée prolongée.
L'attaquant à l'origine de cette opération a développé des compétences avancées pour espionner discrètement ses victimes. Le logiciel malveillant recueille les informations d'identification toutes les deux heures, dérobant des données sensibles telles que les identifiants de connexion au site et au WIFI, ainsi que les données personnelles de la victime, telles que son nom, son adresse, son numéro de téléphone, l’entreprise où elle travaille et son intitulé de poste. En outre, le logiciel malveillant peut effectuer des captures d'écran sur l'appareil de la victime sans être détecté, prendre un contrôle important sur la machine et même enregistrer les entrées du microphone.
Le vecteur d'infection initial est resté inconnu jusqu'à ce que l'enquête approfondie de Kaspersky révèle l'utilisation d'un exploit EternalBlue 'SMBv1' sur mesure pour infiltrer les systèmes des victimes. Malgré l’annonce publique de la vulnérabilité EternalBlue en 2017, et la publication ultérieure par Microsoft d'un correctif (désigné MS17-010), la menace qu'elle pose reste importante en raison du nombre élevé d’utilisateurs n'ayant pas mis à jour leurs systèmes.
Lors de l'analyse technique de la campagne, les experts de Kaspersky ont observé des similitudes avec le malware Equation. Il s'agit notamment d'indicateurs techniques tels que les signatures associées au malware Equation, ainsi que le style de codage et les pratiques ressemblant à ceux observés dans le malware StraitBizzare (SBZ). D'après les compteurs de téléchargement affichés par le référentiel où le logiciel malveillant est hébergé, le nombre estimé de cibles de StripedFly a atteint plus d'un million de victimes dans le monde entier.
L’ampleur des efforts consacrés à la création de cette infrastructure est vraiment impressionnante, et sa découverte a été surprenante. L'adaptabilité et l'évolution constante des acteurs de la menace constituent un défi permanent pour nous. C’est pourquoi il est important pour nous, chercheurs, de persévérer dans nos efforts de détection et de neutralisation de cybermenaces sophistiquées, et pour les clients de ne pas oublier l’importance d’une protection complète", commente Sergey Lozhkin, chercheur principal en sécurité au sein de l'équipe Global Research & Analysis Team (GReAT) de Kaspersky.
Pour en savoir plus sur StripedFly, consultez Securelist.com.
Afin d'éviter d'être victime d'une attaque ciblée par un acteur de menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
- Mettez régulièrement à jour votre système d'exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.
- Méfiez-vous des e-mails, messages ou appels vous demandant des informations sensibles. Vérifiez l'identité de l'expéditeur avant de communiquer des informations personnelles ou de cliquer sur des liens suspects.
- Fournissez à votre équipe SOC l'accès aux informations les plus récentes en matière de renseignements sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal constitue une source centralisée de données sur les menaces de l'entreprise, fournissant des données sur les cyberattaques ainsi que des données collectées par Kaspersky depuis plus de 20 ans.
- Développez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
- Pour la détection au niveau des terminaux, l'investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.