Ισχυρό κακόβουλο λογισμικό μεταμφιεσμένο σε Crypto Miner μολύνει πάνω από 1 εκατομύρια υπολογιστές Windows, Linux

Ένα ισχυρό κακόβουλο λογισμικό μεταμφιέζεται σε ένα πρόγραμμα εξόρυξης κρυπτονομισμάτων για να αποφύγει την ανίχνευση για περισσότερα από πέντε χρόνια, σύμφωνα με τον πάροχο antivirus Kaspersky. Το κακόβουλο λογισμικό "StripedFly" έχει μολύνει πάνω από 1 εκατομμύριο υπολογιστές Windows και Linux σε όλο τον κόσμο από το 2016, αναφέρει η Kaspersky σε έκθεση που δημοσιεύθηκε σήμερα.

Οι ερευνητές ασφαλείας της εταιρείας άρχισαν να ερευνούν την απειλή πέρυσι, όταν παρατήρησαν ότι τα προϊόντα antivirus της Kaspersky σημείωσαν δύο ανιχνεύσεις στο WINNIT.exe, το οποίο βοηθά στην εκκίνηση του λειτουργικού συστήματος των Windows. Οι ανιχνεύσεις εντοπίστηκαν στη συνέχεια στο StripedFly, το οποίο αρχικά είχε ταξινομηθεί ως εξορύκτης κρυπτονομισμάτων. Αλλά κατά την περαιτέρω εξέταση, οι ερευνητές της Kaspersky παρατήρησαν ότι ο miner είναι απλώς ένα συστατικό ενός πολύ πιο σύνθετου κακόβουλου λογισμικού που υιοθετεί τεχνικές που πιστεύεται ότι προέρχονται από την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ. Συγκεκριμένα, το StripedFly ενσωμάτωσε μια έκδοση του EternalBlue, του διαβόητου exploit που ανέπτυξε η NSA, το οποίο διέρρευσε αργότερα και χρησιμοποιήθηκε στην επίθεση ransomware WannaCry για να μολύνει εκατοντάδες χιλιάδες μηχανήματα Windows το 2017. 

Σύμφωνα με την Kaspersky, το StripedFly χρησιμοποιεί τη δική του προσαρμοσμένη επίθεση EternalBlue για να διεισδύσει σε μη ενημερωμένα συστήματα Windows και να εξαπλωθεί αθόρυβα σε όλο το δίκτυο του θύματος, συμπεριλαμβανομένων των μηχανημάτων Linux που μπορεί αυτό να διαθέτει. Το κακόβουλο λογισμικό μπορεί στη συνέχεια να συλλέξει ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές, όπως διαπιστευτήρια σύνδεσης και προσωπικά δεδομένα.

Για να αποφύγουν την ανίχνευση, οι δημιουργοί πίσω από το StripedFly κατέληξαν σε μια νέα μέθοδο, προσθέτοντας μια μονάδα εξόρυξης κρυπτονομισμάτων για να εμποδίσουν τα συστήματα antivirus να ανακαλύψουν τις πλήρεις δυνατότητες του κακόβουλου λογισμικού. "Περιοδικά, η λειτουργικότητα του κακόβουλου λογισμικού εντός της κύριας μονάδας παρακολουθεί τη διαδικασία εξόρυξης και την επανεκκινεί, εάν είναι απαραίτητο", πρόσθεσε η Kaspersky. "Αναφέρει επίσης υπάκουα στον διακομιστή C2 το hash rate, χρόνο εργασίας, ανακαλυφθέντα nonces και στατιστικά στοιχεία σφαλμάτων".

Δεν είναι σαφές ποιος ανέπτυξε το StripedFly. Παρόλο που το κακόβουλο λογισμικό περιέχει μια επίθεση που προέρχεται από την NSA, το exploit EternalBlue της υπηρεσίας διέρρευσε στο κοινό τον Απρίλιο του 2017 μέσω μιας μυστηριώδους ομάδας που είναι γνωστή ως "Shadow Brokers".

Ένα χρόνο νωρίτερα, πριν από τη διαρροή, Κινέζοι χάκερς είχαν επίσης εντοπιστεί να χρησιμοποιούν το exploit EternalBlue. Εν τω μεταξύ, η Kaspersky σημειώνει ότι η πρώτη ανίχνευση του StripedFly χρονολογείται από τις 9 Απριλίου 2016.  Συν τοις άλλοις, μια έκδοση του StripedFly χρησιμοποιήθηκε σε επίθεση ransomware με την ονομασία ThunderCrypt, καθιστώντας τον απώτερο στόχο του κακόβουλου λογισμικού λιγότερο σαφή.

Αλλά τελικά, φαίνεται ότι το κακόβουλο λογισμικό πέτυχε τους στόχους του. Παρόλο που η Microsoft κυκλοφόρησε ένα patch για το EternalBlue τον Μάρτιο του 2017, πολλά συστήματα Windows απέτυχαν να το εγκαταστήσουν, επιτρέποντας στο StripedFly να συνεχίσει τη λειτουργία του.