StripedFly : un mineur espion auto-réplicable cachant un code sophistiqué

Date:

Les experts de Kaspersky ont découvert un malware très sophistiqué jusqu’alors inconnu baptisé StripedFly, qui s’est propagé à l’échelle mondiale. Depuis au moins 2017, StripedFly a affecté plus d’un million de victimes. Agissant initialement comme un mineur de crypto-monnaie, il s’est avéré être un malware complexe doté d’une infrastructure multifonctionnelle auto-réplicable.

En 2022, l’équipe Global Research & Analysis Team (GReAT) de Kaspersky a fait deux découvertes inattendues au sein du processus WININIT.EXE, provoquées par les séquences de code observées précédemment dans le malware Equation. En activité depuis au moins 2017, StripedFLy avait réussi à contourner les analyses antérieures, ayant été identifié à tort comme un mineur de crypto-monnaie. Après un examen approfondi du problème, il a été découvert que le mineur de crypto-monnaie n’était qu’un composant d’une entité beaucoup plus grande : une infrastructure malveillante complexe, multiplateforme et multiplugin.

La charge du logiciel malveillant comprend plusieurs modules, conférant à l’attaquant la capacité d’agir comme un APT, un mineur de crypto-monnaie, voire même comme un groupe de ransomware. Cette polyvalence élargit les motivations potentielles de l’attaquant, passant de la recherche de gains financiers à l’espionnage. On note en particulier que la crypto-monnaie Monero minée par ce module a atteint sa valeur maximale de 542,33 dollars le 9 janvier 2018, alors que sa valeur en 2017 était d’environ 10 dollars.

En 2023, elle maintient sa valeur à environ 150 dollars. Les experts de Kaspersky soulignent le rôle prépondérant du module de minage, qui demeure le principal facteur permettant au malware de rester indétecté sur une durée prolongée.

L’attaquant à l’origine de cette opération a développé des compétences avancées pour espionner discrètement ses victimes. Le logiciel malveillant recueille les informations d’identification toutes les deux heures, dérobant des données sensibles telles que les identifiants de connexion au site et au WIFI, ainsi que les données personnelles de la victime, telles que son nom, son adresse, son numéro de téléphone, l’entreprise où elle travaille et son intitulé de poste. En outre, le logiciel malveillant peut effectuer des captures d’écran sur l’appareil de la victime sans être détecté, prendre un contrôle important sur la machine et même enregistrer les entrées du microphone.

Le vecteur d’infection initial est resté inconnu jusqu’à ce que l’enquête approfondie de Kaspersky révèle l’utilisation d’un exploit EternalBlue ‘SMBv1’ sur mesure pour infiltrer les systèmes des victimes. Malgré l’annonce publique de la vulnérabilité EternalBlue en 2017, et la publication ultérieure par Microsoft d’un correctif (désigné MS17-010), la menace qu’elle pose reste importante en raison du nombre élevé d’utilisateurs n’ayant pas mis à jour leurs systèmes.

Lors de l’analyse technique de la campagne, les experts de Kaspersky ont observé des similitudes avec le malware Equation. Il s’agit notamment d’indicateurs techniques tels que les signatures associées au malware Equation, ainsi que le style de codage et les pratiques ressemblant à ceux observés dans le malware StraitBizzare (SBZ). D’après les compteurs de téléchargement affichés par le référentiel où le logiciel malveillant est hébergé, le nombre estimé de cibles de StripedFly a atteint plus d’un million de victimes dans le monde entier.

L’ampleur des efforts consacrés à la création de cette infrastructure est vraiment impressionnante, et sa découverte a été surprenante. L’adaptabilité et l’évolution constante des acteurs de la menace constituent un défi permanent pour nous. C’est pourquoi il est important pour nous, chercheurs, de persévérer dans nos efforts de détection et de neutralisation de cybermenaces sophistiquées, et pour les clients de ne pas oublier l’importance d’une protection complète », commente Sergey Lozhkin, chercheur principal en sécurité au sein de l’équipe Global Research & Analysis Team (GReAT) de Kaspersky.
Pour en savoir plus sur StripedFly, consultez Securelist.com.

Afin d’éviter d’être victime d’une attaque ciblée par un acteur de menace connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Mettez régulièrement à jour votre système d’exploitation, vos applications et votre logiciel antivirus afin de corriger les vulnérabilités connues.
  • Méfiez-vous des e-mails, messages ou appels vous demandant des informations sensibles. Vérifiez l’identité de l’expéditeur avant de communiquer des informations personnelles ou de cliquer sur des liens suspects.
  • Fournissez à votre équipe SOC l’accès aux informations les plus récentes en matière de renseignements sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal constitue une source centralisée de données sur les menaces de l’entreprise, fournissant des données sur les cyberattaques ainsi que des données collectées par Kaspersky depuis plus de 20 ans.
  • Développez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
  • Pour la détection au niveau des terminaux, l’investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.
00:01:21

Samsung innove dans le suivi santé et bien-être avec les Galaxy Watch5 et Galaxy Watch5 Pro

Les nouvelles Galaxy Watch5 Series proposent des fonctionnalités de suivi du sommeil pertinentes et un design personnalisé pour façonner les habitudes de santé et bien-être au quotidien.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

Samsung Galaxy A55 et A35 : La combinaison parfaite de l’innovation et de la sécurité

Samsung Electronics Co., Ltd. vient de lancer les Galaxy A55 et Galaxy A35, sur les marchés tunisiens.

Ne manquez pas l’offre exclusive d’OPPO Tunisie : Précommandez le Reno11 F 5G dès maintenant !

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien, à partir du 29 avril 2024, de son dernier smartphone, Reno11 F 5G.
00:10:29

Samsung – Paris 2024 : Les nouvelles stars » pourraient faire l’affaire

Samsung Electronics, partenaire olympique et paralympique mondial, a lancé une nouvelle série documentaire conçue pour mettre en lumière le skateboard, le break et le surf sur la route de Paris 2024.

Orange Digital Center et Coursera s’associent pour offrir des formations certifiantes gratuites

Orange Digital Center, en collaboration avec Coursera, leader mondial de l'apprentissage en ligne, lance un programme de formations certifiantes gratuites de haut niveau.

Samsung continue de briser les barrières linguistiques avec Galaxy AI

Samsung annonce l’ajout de trois nouvelles langues pour Galaxy AI : l’arabe, l’indonésien et le russe, ainsi que trois nouveaux dialectes : l’anglais australien, le cantonais et le français québécois.

Samsung numéro un sur le marché mondial de l’affichage numérique pour la 15ème année consécutive

Samsung est leader du marché depuis une décennie et demi avec un nombre record de ventes

TM Roh – Une nouvelle identité graphique pour Samsung Electronics en 2030

C’est toujours palpitant de développer un produit et de le présenter sur le marché. Chaque fois que je relève ce défi, je me demande si le nouveau produit fera écho auprès des clients. Peut-être qu’il changera même la donne et aura un impact significatif dans leur vie.

Kaspersky Next : une nouvelle gamme de solutions à destination des entreprises

Kaspersky présente sa nouvelle ligne de produits Kaspersky Next,...