TM_382

8 31|10|2023 #382 Οι ειδικοί της Kaspersky έ φεραν στην επιφάνεια ένα άγνωστο αλλά εξαιρετι- κά εξελιγμένο κακόβουλο λογισμικό, το StripedFly , το οποίο έχει κάνει αι- σθητή την παρουσία του με πάνω από ένα εκατομμύριο κυβερνοεπιθέσεις παγκοσμίως. Λειτουργώντας αρχικά ως cryptocurrency miner (για εξόρυξη κρυ- πτονομισμάτων), αποδείχθηκε ότι πρό- κειται για ένα πολύπλοκο κακόβουλο λογισμικό με έναν εξεζητημένο τρόπο λειτουργίας. Το 2022, η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky κατά την εκτέλεση του WININIT.EXE εντόπισε δύο απροσδόκητα ευρήματα. Αυτή η εξέλιξη προκλήθηκε από ακολουθίες κώδικα, παρόμοιες με εκείνες που είχαν παρατηρηθεί και στην περίπτωση του Equation malware. Από το 2017, που είχε ξεκινήσει αυτήν τη δραστηριότητα, τo StripedFly είχε καταφέρει να μην γίνει αντιληπτό, έχοντας κατηγοριοποιηθεί λανθασμένα ως cryptocurrency miner. Έπειτα από ενδελεχή έρευνα, αποδεί- χτηκε πως το cryptocurrency miner ήταν απλώς ένα κομμάτι μιας αρκετά πιο πολύπλοκης απειλής. Το συγκεκριμένο κακόβουλο λογισμικό μπορεί να εμφανιστεί είτε ως απειλή τύ- που APT, είτε ως crypto miner, αλλά ακό- μη και σαν ένα σύστημα κακόβουλου λογισμικού. Έτσι, λόγωτης πολυπλοκότη- τας, δημιουργούνται πολλαπλά κίνητρα στους επίδοξους δράστες. Παράλληλα, αξίζει να σημειωθεί ότι το κρυπτονόμι- σμα Monero, που προκύπτει μέσα από αυτήν τη λειτουργία, έφτασε στα 542,33 δολάρια (την ανώτατη τιμή του) στις 9 Ια- νουαρίου 2018, σε σύγκριση με την αξία του 2017 που ήταν περίπου 10 δολάρια. Κατά τη διάρκεια του τρέχοντος έτους, η αξία του κυμάνθηκε γύρω στα 150 δολά- ρια. Οι ειδικοί της Kaspersky τονίζουν ότι ο πρωταρχικός λόγος που δεν είχε εντο- πιστεί το malware ήταν η λειτουργία του ως crypto miner. Επιπρόσθετα, ο δράστης αποκτά τη δυ- νατότητα να παρακολουθεί τους χρή- στες, τους οποίους έχει μολύνει με το κακόβουλο λογισμικό. Το κακόβουλο λογισμικό μπορεί να συλλέγει ανά δύο ώρες ευαίσθητα προσωπικά δεδομένα, όπως κωδικούς πρόσβασης ή ακόμα και το όνομα, τη διεύθυνση, τον αριθμό τηλεφώνου, την εταιρεία, αλλά και τον τίτλο εργασίας του θύματος. Επιπλέον, μπορεί να κάνει λήψη στιγμιότυπων οθό- νης, να αποκτήσει τον έλεγχο του συστή- ματος, αλλά και να ανοίξει το μικρόφωνο της συσκευής κατά το δοκούν, χωρίς να γίνει αντιληπτό. Όλες αυτές οι δυνατότητες ήταν άγνω- στες μέχρι την έρευνα της Kaspersky, η οποία αποκάλυψε τη χρήση του εξα- τομικευμένου exploit EternalBlue SMBv1 , που στόχευε στην απόκτηση πρόσβασης στο σύστημα του θύματος. Η απειλή παραμένει σημαντική, καθώς πολλοί χρήστες δεν έχουν ενημερώσει τα συστήματά τους, παρότι η Microsoft κυκλοφόρησε ένα patch (με την ονο- μασία MS17-010), με την ευπάθεια του EternalBlue να είναι γνωστή στο ευρύ κοινό από το 2017. Στην τεχνική ανάλυση της έρευνας της Kaspersky, οι ειδικοί παρατήρησαν ομοιότητες με το κακόβουλο λογισμικό Equation, καθώς τα τεχνικά χαρακτηρι- στικά, το στυλ κωδικοποίησης, αλλά και οι εφαρμοσμένες πρακτικές έχουν πολλά κοινά χαρακτηριστικά με το StraitBizzare (SBZ) malware. Με βάση την καταμέτρη- ση των λήψεων, στις οποίες είχε εγκατα- σταθεί το malware, ο εκτιμώμενος αριθ- μός των στόχων του StripedFly έφτασε πάνω από ένα εκατομμύριο θύματα σε όλο τον κόσμο. Για να αποφύγετε να πέσετε θύμα στο- χευμένης επίθεσης από οποιονδήπο- τε φορέα απειλής, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των ακόλουθων μέτρων: • Ενημερώστε τακτικά το λειτουργικό σας σύστημα, τις εφαρμογές και το λογι- σμικό προστασίας από ιούς. • Να είστε προσεκτικοί σε μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα ή κλήσεις που σας ζητούν ευαίσθητες πληροφορίες. Επαληθεύστε την ταυτό- τητα του αποστολέα προτού μοιραστείτε οποιαδήποτε προσωπική πληροφορία ή κάνετε κλικ σε ύποπτους συνδέσμους. • Παρέχετε στην ομάδα σας πρόσβαση στα νέα δεδομένα σχετικά με το threat intelligence (TI). • Εκπαιδεύστε την ΙΤ ομάδα της επιχεί- ρησης. • Για τον εντοπισμό, τη διερεύνηση και την έγκαιρη αποκατάσταση περιστα- τικών σε επίπεδο τερματικού σημείου, εφαρμόστε λύσεις EDR. Η Kaspersky προειδοποιεί για νέα απειλή