El proveedor de antivirus Kaspersky descubre una sofisticada pieza de malware 'StripedFly' camuflada como minero de criptomonedas que lleva más de cinco años atacando PCs.
Según el proveedor de antivirus Kaspersky, un potente programa malicioso lleva más de cinco años disfrazándose de minero de criptomonedas trivial para evitar ser detectado.
Este malware, denominado "StripedFly", ha infectado más de un millón de ordenadores Windows y Linux en todo el mundo desde 2016, afirma Kaspersky en un informe publicado hoy.
Los investigadores de seguridad de la compañía comenzaron a investigar la amenaza el año pasado cuando notaron que los productos antivirus de Kaspersky marcaban dos detecciones en WINNIT.exe, que ayuda al arranque del sistema operativo Windows.
Las detecciones fueron entonces rastreadas hasta StripedFly, que fue clasificado originalmente como un minero de criptomonedas. Pero tras un examen más detallado, los investigadores de Kaspersky se dieron cuenta de que el minero no es más que un componente de un malware mucho más complejo que adopta técnicas que se cree que proceden de la Agencia de Seguridad Nacional de Estados Unidos.
En concreto, StripedFly incorporaba una versión de EternalBlue, el famoso exploit desarrollado por la NSA que más tarde se filtró y se utilizó en el ataque de ransomware WannaCry para infectar cientos de miles de máquinas Windows en 2017.
Creditos: Kaspersky
Según Kaspersky, StripedFly utiliza su propio ataque personalizado EternalBlue para infiltrarse en sistemas Windows sin parches y propagarse silenciosamente por la red de la víctima, incluso a máquinas Linux. A continuación, el malware puede recopilar datos confidenciales de los ordenadores infectados, como credenciales de acceso y datos personales.
"Además, el malware puede realizar capturas de pantalla en el dispositivo de la víctima sin ser detectado, obtener un control significativo sobre la máquina e incluso grabar la entrada del micrófono", añaden los investigadores de seguridad de la compañía.
Para eludir la detección, los creadores de StripedFly utilizaron un método novedoso al añadir un módulo de minería de criptomoneda para evitar que los sistemas antivirus descubrieran todas las capacidades del malware. "Periódicamente, la funcionalidad del malware dentro del módulo principal supervisa el proceso de minería de marionetas y lo reinicia si es necesario", añadió Kaspersky. "También informa diligentemente de la tasa de hash, el tiempo de trabajo, los nonces descubiertos y las estadísticas de error al servidor C2".
No está claro quién desarrolló StripedFly. Aunque el malware contiene un ataque originado por la NSA, el exploit EternalBlue de la agencia se filtró al público en abril de 2017 a través de un misterioso grupo conocido como "Shadow Brokers."
Un año antes, antes de la filtración, presuntos hackers chinos también fueron vistos usando el exploit EternalBlue también. Mientras tanto, Kaspersky señala que la primera detección de StripedFly se remonta al 9 de abril de 2016. Además de todo esto, una versión de StripedFly se utilizó en un ataque de ransomware llamado ThunderCrypt, lo que hace que el objetivo final del malware sea menos claro.
Pero en última instancia, parece que el malware logró sus objetivos. Aunque Microsoft lanzó un parche para EternalBlue allá por marzo de 2017, muchos sistemas Windows no lo instalaron, lo que permitió a StripedFly aprovecharse.
"Creado hace bastante tiempo, StripedFly sin duda ha cumplido su propósito previsto al evadir con éxito la detección a lo largo de los años", agregó Kaspersky. "Se han investigado muchos programas maliciosos sofisticados y de alto perfil, pero éste destaca y realmente merece atención y reconocimiento".
Fuente: somoslibres
