StripedFly - kripto rudar koji vas špijunira!

Stručnjaci kompanije Kaspersky otkrili su do sada nepoznati, veoma sofisticirani StripedFly malver koji od 2017. ima preko milion žrtava širom sveta. Ono što je u početku izgledalo kao rudar kriptovaluta, ispostaviće se da je kompleksan malver sa multifunkcionalnim okvirom i mogućnošću multiplikacije.

Tokom prošle godine, Kaspersky tim za globalno istraživanje i analizu naišao je na dva neočekivana otkrića u okviru WININIT.EXE procesa, pokrenuta sekvencama koda koje su ranije primećene u malveru Equation za koji će se ispostaviti da je sofisticirani StripedFly.

Stripedfly traje od 2017. godine, mada se ne isključuje mogućnost da je postojao i ranije, jer je efikasno izbegavao prethodnu detekciju. U prošlosti je pogrešno klasifikovan kao rudar kriptovaluta. Nakon sprovođenja sveobuhvatnog ispitivanja problema, otkriveno je da je rudar kriptovaluta bio samo jedna komponenta mnogo većeg entiteta – složene, multi-pligin, multi-platformske maliciozne strukture.

Malver obuhvata više modula, omogućavajući akteru da deluje kao APT, odnosno kripto rudar, pa čak i kao grupa ransomware-a, čime potencijalni motivi kreatora mogu biti od finansijske dobiti do špijunaže. Primetno je da je kriptovaluta Monero koju je ovaj modul rudario dostigla najveću vrednost od 542,33 dolara 9. januara 2018. godine, što je drastično više u odnosu na vrednost iz 2017. godine kada je vredela samo 10 dolara, a dosta manja nego sadašnja vrednost Monera od oko 150 dolara. Stručnjaci kompanije Kaspersky naglašavaju da je upravo modul za rudarenje glavni razlog zašto ovaj malver do skora nije otkriven.

Stručnjaci upozoravaju da, ko god stoji iza ove operacije, ima izuzetne kapacitete da špijunira žrtve. Malver prikuplja informacije svaka dva sata i krade osetljive podatke kao što su nalozi i šifre za sajtove i WIFI, sve sa privatnim podacima žrtve, uključujući ime, adresu, broj telefona, kompanije u kojoj radi, čak i pozicije. Štaviše, malver može da napravi snimke ekrana na uređaju, pa čak i da vas glasovno snimi.

Početni vektor infekcije bio je nepoznat sve dok istraga kompanije Kaspersky nije otkrila upotrebu prilagođenog EternalBlue 'SMBv1' eksploatacije za infiltriranje. Uprkos tome što je još 2017. godine objavljeno da postoje ranjivosti EternalBlue, nakon čega je Microsoft izbacio zakrpu (patch MS17-010), pretnja je i dalje aktivna, jer mnogi korisnici nisu ažurirali svoje sisteme.

Tokom tehničke analize, stručnjaci kompanije Kaspersky uočili su sličnosti StripedFly-a sa malverom Equation, kao i da stil kodiranja liči na StraitBizzare (SBZ) malver. Procenjuje se da postoji više od milion žrtava širom sveta.

- Količina truda uloženog u stvaranje ovog entiteta je zaista izuzetna i bili smo zapanjeni kada smo ga otkrili. Sposobnost sajber kriminalaca da se prilagode i evoluiraju je konstantan izazov, zbog čega je za nas istraživače toliko važno da nastavimo da naporno radimo na otkrivanju i onesposobljavanju sofisticiranih sajber pretnji, a na potrošačima da ne zaborave da koriste sveobuhvatnu zaštitu od sajber kriminala - komentariše Sergej Lozkin, glavni istraživač bezbednosti u GReAT timu kompanije Kaspersky.

Više o StripedFly problemu možete pročitati na Securelist.com.

Kako biste izbegli da postanete žrtva ciljanog sajber napada, stručnjaci kompanije Kaspersky preporučuju:

· Redovno ažurirajte svoj operativni sistem, aplikacije i antivirusni softver.

· Budite oprezni sa mailovima, porukama ili pozivima u kojima se traže osetljive informacije. Proverite identitet pošiljaoca pre nego što podelite lične podatke ili kliknete na sumnjive linkove.

· Omogućite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama (TI). Kaspersky Threat Intelligence Portal je jedinstven za TI kompanije, pružajući podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila u prethodnih 20 godina.

· Osposobite svoj tim za sajber bezbednost da se uhvati u koštac sa najnovijim ciljanim pretnjama uz Kaspersky onlajn obuku koju su razvili GReAT stručnjaci.

· Za endpoint detekciju, istragu i blagovremeno otklanjanje incidenata, primenite EDR rešenja kao što su Kaspersky Endpoint Detection and Response.

O kompaniji Kaspersky

Kaspersky je globalna kompanija za sajber bezbednost i digitalnu privatnost osnovana 1997. godine. Obaveštajni podaci o potencijalnim pretnjama i bezbednosna ekspertiza kompanije Kaspersky se konstantno transformišu u inovativna rešenja i usluge za zaštitu Vlada, preduzeća kao i potrošača širom sveta. Sveobuhvatni bezbednosni portfolio kompanije uključuje vodeću zaštitu krajnjih korisnika, specijalizovane bezbednosne proizvode i usluge, kao i Cyber Immune rešenja za borbu protiv sofisticiranih digitalnih pretnji koje se neprestano razvijaju. Preko 400 miliona korisnika zaštićeno je Kaspersky tehnologijama, dok kompanija pruža pomoć preko 220.000 korporativnih klijenata da zaštite ono što im je najvažnije. Više informacija dostupno je na sajtu.