ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ ΣΕ 1 ΕΚΑΤ. ΥΠΟΛΟΓΙΣΤΕΣ!
ΠΩΣ ΘΑ ΠΡΟΣΤΑΤΕΨΟΥΜΕ ΤΟΥΣ ΥΠΟΛΟΓΙΣΤΕΣ ΜΑΣ
KΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ ΣΕ 1 ΕΚΑΤ. ΥΠΟΛΟΓΙΣΤΕΣ!
Το StripedFly είναι ένα κακόβουλο λογισμικό που δεν το είχαμε πάρει «χαμπάρι». Οι πληροφορικάριοι λένε ότι «πετούσε κάτω από τα ραντάρ τους» επί πέντε συναπτά έτη. Εντωμεταξύ, αυτό έκανε μια χαρά τη δουλειά του μολύνοντας ένα εκατομμύριο συστήματα windows και Linux. Μόλις πέρυσι η Kaspersky ανακάλυψε την πραγματική φύση του λογισμικού, βρίσκοντας στοιχεία για τη δραστηριότητά του. Μαθαίνουμε λοιπόν, ότι ξεκίνησε τη «δράση» του το 2017, ως «εξορύκτης» κρυπτονομισμάτων Monero! Πάντως μπορεί να συλλέγει νέα δεδομένα κάθε 2 ώρες!
ΠΩΣ ΤΟ STRIPEDFLY ΚΛΕΒΕΙ ΔΕΔΟΜΕΝΑ
Οι αναλυτές περιγράφουν το StripedFly ως εντυπωσιακό λογισμικό, με εξελιγμένους μηχανισμούς απόκρυψης, βασισμένους σε TOR. Όπου TOR, τα αρχικά «The Onion Router”, ή για τους μη γνώστες, ένα σύστημα που χρησιμοποιείται για την προστασία της ιδιωτικότητας των χρηστών στο Διαδίκτυο.
Διαδίδεται με τη μέθοδο WORM, της εκμετάλλευσης δηλαδή ευπαθειών στο λογισμικό ή το δίκτυο. Με αυτόν τον τρόπο αντιγράφεται και εξαπλώνεται σε άλλους υπολογιστές.
Επιπροσθέτως, χρησιμοποιεί και ένα γνωστό ως “EternalBlue” κακόβουλο πρόγραμμα το οποίο ανιχνεύει τις ευπάθειες στα “Microsoft Windows”. Συγκεκριμένα ανιχνεύει μια ευπάθεια στο πρωτόκολλο SMBv1 (Server Message Block version 1), της γνωστής πλατφόρμας.
ΠΩΣ “ΤΡΥΠΩΝΕΙ” ΣΤΑ ΥΠΟΛΟΓΙΣΤΙΚΑ ΣΥΣΤΗΜΑΤΑ
Ακόμη δεν έχει αποσαφηνιστεί εάν το κακόβουλο λογισμικό χρησιμοποιήθηκε για δημιουργία εσόδων ή κατασκοπεία στον κυβερνοχώρο. Ωστόσο, η Kaspersky υποστηρίζει ότι η πολυπλοκότητά του δείχνει πως πρόκειται για κακόβουλο λογισμικό τύπου APT (προηγμένης επίμονης απειλής). Συγκεκριμένα, το APT λειτουργεί με στόχο την εισβολή, την παρακολούθηση και τον έλεγχο ενός συστήματος ή δικτύου για μεγάλο χρονικό διάστημα, συνήθως χωρίς να ανιχνεύεται εύκολα.
Η πρώιμη εμφάνιση του StripedFly εκμεταλλευόμενο επίσης το κακόβουλο πρόγραμμα «EternalBlue» ήταν τον Απρίλιο του 2016. Ωστόσο τον Αύγουστο του ίδιου έτους το πρόγραμμα βρίσκονταν μέσα στη λίστα εκείνων που διέρρευσαν από τους “Shadow Brokers”. Η ομάδα των πρωτοεμφανιζόμενων τότε χάκερς, «έβγαλε στη φόρα» εργαλεία, προγράμματα και ευαίσθητα δεδομένα, της Αμερικανικής Εθνικής Υπηρεσίας Ασφαλείας (NSA).
ΤΟ STRIPEDFLY ΒΡΙΣΚΕΤΑΙ ΣΕ ΠΑΝΩ ΑΠΟ ΕΝΑ ΕΚΑΤΟΜΜΥΡΙΟ ΣΥΣΤΗΜΑΤΑ
Το κακόβουλο λογισμικό StripedFly βρίσκεται σε πάνω από ένα εκατομμύριο συστήματα.
Ανακαλύφθηκε αρχικά όταν η Kaspersky εντόπισε τη σειρά εντολών προγραμματισμού (shellcode) ενσωματωμένες στη διαδικασία WINNIT.EXE των Windows, η οποία χειρίζεται την αρχικοποίηση διαφόρων υποσυστημάτων.
Στο Linux, το κακόβουλο λογισμικό υιοθετεί το όνομα ‘sd-pam’. Χρησιμοποιεί ως «δούρειο ίππο» ένα σύστημα για τη λειτουργία και διαχείριση υπηρεσιών, (systemd). Επίσης, ένα αρχείο αυτόματης εκκίνησης (.desktop). Επίσης, τροποποιεί διάφορα προφίλ και αρχεία εκκίνησης, όπως αρχεία /etc/rc*, προφίλ, bashrc ή inittab.
Υπολογίζεται ότι από τον Απρίλιο έως τον Σεπτέμβριο του 2023 έγιναν 60.000 μολύνσεις υπολογιστών. Εκτιμάται ότι το StripedFly έχει μολύνει τουλάχιστον 220.000 συστήματα Windows από τον Φεβρουάριο του 2022. Ωστόσο, η Kaspersky εκτιμά ότι ο αριθμός είναι πολύ μεγαλύτερος. Για την ακρίβεια υπολογίζει ότι οι «μολυσμένες» συσκευές ξεπερνούν το ένα εκατομμύριο! ΚΑΚΟΒΟΥΛΟ
ΣΥΜΒΟΥΛΕΣ ΑΠΟΤΡΟΠΗΣ ΜΟΛΥΝΣΗΣ ΑΠΟ ΤΟΝ “STRIPEDFLY”
Ενημερώστε τα λειτουργικά συστήματα σας: Είναι σημαντικό να εγκαθιστάτε τις τελευταίες ενημερώσεις ασφαλείας για τα Windows και τα Linux συστήματά σας. Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις για γνωστά προβλήματα ασφαλείας και μπορούν να βοηθήσουν στην αποτροπή της εκμετάλλευσης των ευπαθειών από το StripedFly malware. ΚΑΚΟΒΟΥΛΟ
Εγκαταστήστε ένα αξιόπιστο λογισμικό ασφαλείας: Χρησιμοποιήστε ένα αξιόπιστο λογισμικό antivirus και προστασίας από κακόβουλο λογισμικό για να σαρώσετε το σύστημά σας και να απομακρύνετε τυχόν απειλές. Επίσης, βεβαιωθείτε ότι το λογισμικό ασφαλείας σας είναι ενημερωμένο και λειτουργεί σε πραγματικό χρόνο για να ανιχνεύει και να αποτρέπει το StripedFly malware.
Προσέξτε τα email και τα επισυναπτόμενα αρχεία: Μην ανοίγετε email από άγνωστους αποστολείς και μην κάνετε κλικ σε συνημμένα αρχεία ή συνδέσμους που δεν περιμένετε. Οι κακόβουλοι αποστολείς μπορούν να χρησιμοποιήσουν τα email για να διαδώσουν το StripedFly malware και άλλα κακόβουλα προγράμματα.
Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης: Επιλέξτε μεγάλους και πολύπλοκους κωδικούς πρόσβασης για τους λογαριασμούς σας και αλλάξτε τους τακτικά. Αυτό μπορεί να δυσκολέψει την πρόσβαση των επιτιθέμενων στο σύστημά σας και να προστατεύσει από το StripedFly malware. ΚΑΚΟΒΟΥΛΟ
Εκπαιδεύστε τους χρήστες: Είναι σημαντικό να εκπαιδεύσετε τους χρήστες σας για τους κινδύνους του κακόβουλου λογισμικού και τις προφυλάξεις που πρέπει να λαμβάνουν. Ενημερώστε τους για τη σημασία της προσοχής κατά την περιήγηση στο διαδίκτυο και την αναγνώριση ύποπτων email και την αποφυγή καταφανώς κακόβουλων ιστοσελίδων. ΚΑΚΟΒΟΥΛΟ
ΤΟ REPORT ΠΡΟΣ ADMINISTRATORS ΤΗΣ KASPERSKY ΓΙΑ ΤΗ ΔΡΑΣΗ ΤΟΥ “STRIPEDFLY”
Configuration storage: Stores encrypted malware configuration.
Upgrade/Uninstall: Manages updates or removal based on C2 server commands.
Reverse proxy: Allows remote actions on the victim’s network.
Miscellaneous command handler: Executes varied commands like screenshot capture and shellcode execution.
Credential harvester: Scans and collects sensitive user data like passwords and usernames.
Repeatable tasks: Carries out specific tasks under certain conditions, such as microphone recording.
Recon module: Sends detailed system information to the C2 server.
SSH infector: Uses harvested SSH credentials to penetrate other systems.
SMBv1 infector: Worms into other Windows systems using a custom EternalBlue exploit.
Monero mining module: Mines Monero while camouflaged as a “chrome.exe” process.