Kaspersky descubre StripeFly: un sofisticado malware minero con capacidades para espiar

En 2022, el equipo de análisis global de Kaspersky hizo dos hallazgos inesperados en el componente de software de Microsoft WININIT.EXE. Se trataba de secuencias de código vistas con anterioridad en el malware Equation. StripeFly había estado activo desde al menos 2017 y había logrado evadir análisis anteriores, siendo clasificado erróneamente como un minero de criptomonedas. Tras realizar un exhaustivo examen, los expertos de Kaspersky han descubierto que es una amenaza mucho más compleja, multiplataforma y modular.

El malware cuenta con diversos módulos, lo que le permite actuar como amenaza persistente avanzada (APT), como criptominero e incluso como ransomware. Tiene diferentes objetivos, desde el puramente financiero hasta el espionaje. Los expertos de Kaspersky subrayan que el módulo de minería es el que permite al malware evitar la detección durante periodos prolongados.

StripeFly ha desarrollado grandes capacidades para el espionaje. Recopila credenciales e información de la víctima cada dos horas: claves de inicio de sesión WIFI, datos personales como nombre, dirección, número de teléfono, empresa y puesto de trabajo. Además, puede realizar capturas de pantalla del dispositivo de la víctima sin ser detectado, hacerse con el control del mismo o activar la grabación desde el micrófono.

Los expertos de Kaspersky revelaron el uso de un exploit EternalBlue 'SMBv1' personalizado para infiltrarse en los sistemas de las víctimas. A pesar de la divulgación de EternalBlue en 2017 y el posterior lanzamiento de un parche por parte de Microsoft (llamado MS17-010), sigue siendo una amenaza porque muchos usuarios no han actualizado sus sistemas.

El análisis técnico detectó similitudes con el malware Equation y prácticas de codificación similares a las vistas en StraitBizzare (SBZ). StripeFly fue descargado por más de un millón de víctimas en todo el mundo, según el contador del repositorio en el que el malware estaba alojado.

“La cantidad de horas invertidas en la creación de esta amenaza es sorprendente. La capacidad de los ciberdelincuentes para adaptarse y evolucionar es un desafío constante. Por ello, usuarios y empresas no deben olvidar protegerse. Nosotros, por nuestra parte, seguiremos esforzándonos en descubrir y difundir amenazas”,asegura Sergey Lozhkin, Investigador Principal de Seguridad del equipo de Análisis e Investigación Global (GReAT) de Kaspersky.

Para evitar ser víctima de amenazas tanto conocidas como desconocidas, los expertos de Kaspersky recomiendan implementar las siguientes medidas:

• Actualizar el sistema operativo, aplicaciones y el antivirus con regularidad para parchear cualquier vulnerabilidad conocida
• Actuar con cautela al recibir mensajes, correos o llamadas en las que se solicita información sensible. Verificar la identidad del interlocutor antes de compartir cualquier información personal o hacer clic en enlaces sospechosos
• Proveer al equipo encargado del SOC del acceso a la última información de amenazas. The Kaspersky Threat Intelligence Portal ofrece información y datos de ciberataques recogidos por Kaspersky durante los últimos veinte años
• Capacitar al equipo de ciberseguridad para que pueda enfrentarse con garantías a las amenazas con Kaspersky Expert Training, desarrollado por los expertos de GReAT
• Para la investigación, detección y solución temprana de incidentes, implementar soluciones EDR de confianza, como es el caso de Kaspersky Endpoint Detection and Response

Para saber más acerca de StripedFly, visitar Securelist.com