Dans une révélation choquante, les chercheurs en cybersécurité de Kaspersky ont mis au jour un malware sophistiqué appelé StripedFly. Le logiciel a réussi à échapper à la vigilance des experts pendant cinq longues années.
Le malware a ainsi réussi à infecter plus d’un million de systèmes Windows et Linux au cours de cette période. Les détails de cette menace informatique sont aussi impressionnants que préoccupants.
Dans cet article :
Une menace multiplateforme insaisissable
Découvert l’année dernière par Kaspersky, StripedFly a été initialement mal classifié comme un simple mineur de cryptomonnaie Monero. Cependant, une analyse plus approfondie a révélé un niveau de sophistication digne d’une menace persistante avancée (APT).
Le malware a réussi à se cacher en utilisant :
- des mécanismes de trafic basés sur TOR,
- des mises à jour automatisées à partir de plates-formes de confiance,
- des capacités de propagation de type ver,
- et même un exploit personnalisé EternalBlue SMBv1 créé avant la divulgation publique de la faille.
StripedFly semble avoir commencé ses activités dès 2017, mais il est resté insaisissable jusqu’à ce que Kaspersky découvre sa véritable nature. Les premières versions, remontant à avril 2016, incluaient déjà un exploit EternalBlue. C’était bien avant la divulgation publique de la faille par le groupe Shadow Brokers en août de la même année.
Le malware ciblait essentiellement les ordinateurs connectés à internet
L’analyse de Kaspersky a révélé que StripedFly infectait les systèmes en utilisant un exploit personnalisé EternalBlue SMBv1. Ce dernier ciblait spécifiquement les ordinateurs exposés à Internet. Une fois infiltré, le malware téléchargeait et exécutait des fichiers supplémentaires. Il s’agissait notamment de scripts PowerShell, à partir de services d’hébergement légitimes tels que Bitbucket, GitHub et GitLab.
La charge utile finale de StripedFly, appelée « system.img », comportait un client réseau TOR léger personnalisé pour protéger ses communications, la capacité de désactiver le protocole SMBv1, et la possibilité de se propager à d’autres appareils Windows et Linux sur le réseau à l’aide de SSH et EternalBlue.
VOIR AUSSI : DarkGate : ce ransomware esquive aux antivirus en s’infiltrant dans votre chargeur
Méthodes de persistance et modules de StripedFly
StripedFly déployait diverses méthodes pour assurer sa persistance sur les systèmes infectés. Sur Windows, il ajustait son comportement en fonction des privilèges et de la présence de PowerShell. Il y créait des fichiers cachés ou y exécutait des scripts PowerShell. Sur Linux, il se faisait passer pour ‘sd-pam’ et utilisait des services systemd, des fichiers .desktop s’autostartant, ou modifiait divers fichiers de profil et de démarrage.
Le malware fonctionnait comme un exécutable binaire monolithique avec des modules plug-and-play. Cela lui offrait une polyvalence opérationnelle souvent associée aux opérations APT. Les modules comprenaient :
- le stockage de configuration,
- la gestion des mises à jour / désinstallations,
- un proxy inversé,
- un gestionnaire de commandes diverses,
- un collecteur de données sensibles,
- des tâches répétables,
- un module de reconnaissance,
- des infecteurs SSH et SMBv1,
- ainsi qu’un module d’extraction de cryptomonnaie Monero.
Diversion et objectifs principaux de StripedFly
Bien que le malware inclut un mineur de cryptomonnaie Monero, les chercheurs de Kaspersky considèrent cela comme une tentative de diversion. Les objectifs principaux de StripedFly étaient le vol de données et l’exploitation du système, facilités par ses autres modules. Au final, le mineur de Monero a contribué à la capacité du malware à échapper à la détection pendant une période prolongée.
Les chercheurs ont également identifié des liens avec la variante de ransomware ThunderCrypt. Ils partageraient le même serveur de commande et de contrôle (C2) sur le réseau TOR. La présence d’un module de « tâches répétables » suggère que les attaquants pourraient également être intéressés par la génération de revenus pour certaines victimes.
Finalement, la découverte de StripedFly souligne les défis croissants auxquels font face les experts en cybersécurité dans la lutte contre des menaces informatiques de plus en plus sophistiquées. Les utilisateurs et les organisations sont incités à renforcer leurs mesures de sécurité et à rester vigilants face à l’évolution constante des tactiques des cybercriminels. Enfin, la collaboration entre la communauté de la cybersécurité et les chercheurs est essentielle pour anticiper et contrer de telles menaces à l’avenir.
BuzzWebzine est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :