มัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มที่ชื่อว่า StripedFly ได้หลบเลี่ยงการตรวจจับของนักวิจัยด้านความปลอดภัยทางไซเบอร์มาเป็นเวลาห้าปี โดยโจมตีระบบ Windows และ Linux มากกว่าหนึ่งล้านเครื่องในช่วงเวลานั้น
Kaspersky ค้นพบลักษณะของโครงสร้างของมัลแวร์เมื่อปีที่แล้ว โดยพบหลักฐานว่ามัลแวร์ทำการโจมตีมาตั้งแต่ปี 2017 โดยมัลแวร์ถูกจัดประเภทผิดพลาดว่าเป็นเพียงโปรแกรมขุดเหรียญสกุลเงินดิจิทัล Monero
นักวิเคราะห์ระบุว่า StripedFly ว่าเป็นมัลแวร์ที่น่าประทับใจ โดยมีกลไกการซ่อนการรับส่งข้อมูลผ่าน TOR ที่ดูซับซ้อน, การอัปเดตอัตโนมัติจากแพลตฟอร์มที่เชื่อถือได้, ความสามารถในการแพร่กระจายแบบ worm, และการใช้ช่องโหว่ EternalBlue SMBv1 แบบกำหนดเองที่สร้างขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ
ถึงแม้ว่าจะยังไม่ชัดเจนว่า framework ของมัลแวร์นี้ถูกใช้เพื่อสร้างรายได้ หรือเพื่อการจารกรรมทางไซเบอร์ แต่ Kaspersky ระบุว่าความซับซ้อนของมันบ่งชี้ว่านี่คือมัลแวร์ในรูปแบบของ APT (advanced persistent threat)
จากเวลาที่บันทึก compiler ของมัลแวร์ รุ่นแรกสุดของ StripedFly ที่มีการใช้ช่องโหว่ EternalBlue เกิดขึ้นในเดือนเมษายน 2016 ในขณะที่การเปิดเผยข้อมูลสู่สาธารณะโดยกลุ่ม Shadow Brokers เกิดขึ้นในเดือนสิงหาคม 2016
StripedFly แพร่กระจายไปยังอุปกรณ์มากกว่าหนึ่งล้านเครื่อง
โครงสร้างของมัลแวร์ StripedFly ถูกพบครั้งแรกหลังจากที่ Kaspersky พบการฝัง shellcode ของแพลตฟอร์มใน process WININIT.EXE ซึ่งเป็น process ของ Windows OS ที่ถูกต้อง และใช้สำหรับจัดการการเริ่มต้นใช้งานของระบบย่อยต่าง ๆ
หลังจากตรวจสอบ injected code พบว่าโค้ดนี้จะดาวน์โหลด และเรียกใช้ไฟล์เพิ่มเติม เช่น สคริปต์ PowerShell จากบริการโฮสติ้งที่ถูกต้อง เช่น Bitbucket, GitHub และ GitLab รวมถึงสคริปต์ PowerShell
การสืบสวนเพิ่มเติมแสดงให้เห็นว่าอุปกรณ์ที่ติดมัลแวร์มีแนวโน้มว่าจะถูกโจมตีครั้งแรกด้วยช่องโหว่ SMBv1 ด้วยการใช้เครื่องมือ EternalBlue ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต
เซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของมัลแวร์ตั้งอยู่บนเครือข่าย TOR และการสื่อสารกับเซิร์ฟเวอร์นี้จะประกอบด้วย ID ที่สร้างมาเฉพาะตัวสำหรับเหยื่อแต่ละราย
เพื่อแฝงตัวอยู่บนระบบ Windows มัลแวร์ StripedFly ปรับปรุงพฤติกรรมของมัน ตามระดับสิทธิ์ที่ทำงาน และการมีอยู่ของ PowerShell
หากไม่มี PowerShell StripedFly จะสร้างไฟล์ที่ซ่อนอยู่ไดเร็กทอรี %APPDATA% หากมี PowerShell มัลแวร์ StripedFly จะเรียกใช้สคริปต์เพื่อสร้าง scheduled tasks ที่กำหนดเวลาไว้ หรือแก้ไขคีย์ Windows Registry
บน Linux มัลแวร์จะใช้ชื่อ 'sd-pam' มัลแวร์จะแฝงตัวอยู่โดยใช้ systemd services ไฟล์ .desktop ที่เริ่มต้นทำงานเองโดยอัตโนมัติ หรือโดยการปรับแต่งไฟล์โปรไฟล์ และ startup files ต่าง ๆ เช่นไฟล์ /etc/rc*, profile, bashrc, หรือ inittab files
จากข้อมูลของ Bitbucket repository เพย์โหลดขั้นสุดท้ายบนระบบ Windows ระบุว่าระหว่างเดือนเมษายนถึงกันยายน 2023 มีการติดมัลแวร์บนระบบเกือบ 60,000 ครั้ง
StripedFly ได้แพร่กระจายไปยังระบบ Windows มากกว่า 220,000 เครื่องทั่วโลกตั้งแต่เดือนกุมภาพันธ์ 2022 โดยประมาณ แต่สถิติจากก่อนหน้านั้นไม่สามารถระบุได้ เนื่องจากการเก็บข้อมูลถูกสร้างขึ้นในปี 2018
โดย Kaspersky ประมาณการณ์ว่าอุปกรณ์มากกว่า 1 ล้านเครื่องติดมัลแวร์ StripedFly framework
โมดูลมัลแวร์
มัลแวร์ทำงานเป็นไฟล์ปฏิบัติการแบบไบนารีขนาดใหญ่ที่มีโมดูลแบบ pluggable ทำให้มีความคล่องตัวในการปฏิบัติงานซึ่งเป็นลักษณะเดียวกับการทำงานของ APT
โมดูลของ StripedFly จากรายงานของ Kaspersky:
Configuration storage: จัดเก็บการกำหนดค่าของมัลแวร์ในรูปแบบที่เข้ารหัส
Upgrade/Uninstall: จัดการการอัปเดต หรือถอนการติดตั้งตามคำสั่งจากเซิร์ฟเวอร์ C2
Reverse proxy: อนุญาตให้มีการดำเนินการจากระยะไกลบนเครือข่ายของเหยื่อ
Miscellaneous command handler: รันคำสั่งต่าง ๆ เช่น การจับภาพหน้าจอ และการเรียกใช้ shellcode
Credential harvester: สแกน และรวบรวมข้อมูลผู้ใช้งานที่มีความสำคัญ เช่น รหัสผ่าน และชื่อผู้ใช้งาน
Repeatable tasks: ดำเนินการงานเฉพาะภายใต้เงื่อนไขบางประการ เช่น การบันทึกไมโครโฟน
Recon module: ส่งข้อมูลระบบโดยละเอียดไปยังเซิร์ฟเวอร์ C2
SSH infector: ใช้ข้อมูล credentials ของ SSH ที่ถูกเก็บรวบรวมเพื่อเข้าถึงระบบอื่น ๆ
SMBv1 infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ช่องโหว่ EternalBlue แบบกำหนดเอง
Monero mining module: ขุดเหรียญ Monero ในขณะที่ปลอมตัวเป็น process "chrome.