Phần mềm độc hại phức tạp với cấu trúc lây lan đa chức năng

Ban đầu, StripedFly hoạt động như một công cụ khai thác tiền điện tử. Thế nhưng sau đó lại được phát hiện là một phần mềm độc hại phức tạp với cấu trúc lây lan đa chức năng (multi-functional wormable framework).

Năm 2022, nhóm nghiên cứu và phân tích Toàn cầu (GReAT) của Kaspersky đã gặp phải hai phát hiện không mong muốn trong quy trình WININIT.EXE được kích hoạt bởi các chuỗi mã được quan sát trước đó trong phần mềm độc hại Equation.

Theo đó, hoạt động của phần mềm độc hại StripedFly diễn ra ít nhất từ năm 2017 và đã thành công tránh được sự quan sát trước đó bởi chúng thường được nhầm lẫn với các công cụ khai thác tiền điện tử thông thường. Sau khi xem xét kỹ lưỡng vấn đề, các chuyên gia phát hiện ra rằng công cụ khai thác tiền điện tử thực chất chỉ là một phần nhỏ của một thực thể lớn hơn nhiều của StripedFly - một cấu trúc độc hại được xây dựng phức tạp, đa nền tảng và đa plugin.

Tải trọng phần mềm độc hại bao gồm nhiều module, cho phép kẻ tấn công hoạt động như một APT (tấn công mạng có chủ đích), một công cụ khai thác tiền điện tử, thậm chí là một nhóm ransomware và những nhóm đối tượng này hoàn toàn có khả năng thay đổi mục đích tấn công từ việc thu lợi tài chính sang hoạt động gián điệp.

Đáng chú ý, tiền điện tử Monero được khai thác bởi module này đã đạt giá trị cao nhất là 542,33 USD vào ngày 09/01/2018, cao hơn 10 USD so với giá trị của năm 2017. Tính đến năm 2023, loại tiền điện tử này vẫn duy trì giá trị khoảng 150 USD. Các chuyên gia Kaspersky cũng nhấn mạnh rằng module khai thác là yếu tố chính giúp phần mềm độc hại này tránh bị phát hiện trong thời gian dài.

Kẻ tấn công đằng sau hoạt động này sở hữu khả năng chuyên môn để bí mật theo dõi mục tiêu. Phần mềm độc hại thu thập thông tin xác thực hai giờ một lần, lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập trên trang web và Wi-Fi, cùng với các dữ liệu cá nhân như tên, địa chỉ, số điện thoại, công ty và chức danh công việc.

Không những thế, phần mềm độc hại có thể chụp ảnh màn hình trên thiết bị của nạn nhân mà không bị phát hiện, hoàn toàn kiểm soát được thiết bị và thậm chí ghi âm nạn nhân thông qua đầu vào của micro.

Phương thức lây nhiễm ban đầu của phần mềm độc hại StripedFly vẫn chưa được xác định cho đến khi Kaspersky tiến hành một cuộc điều tra sâu hơn, tiết lộ việc sử dụng công cụ khai thác tuỳ chỉnh mang tên EternalBlue 'SMBv1' để xâm nhập vào hệ thống của nạn nhân.

Mặc dù lỗ hổng EternalBlue đã được công khai vào năm 2017 và Microsoft đã phát hành bản vá sau đó (được chỉ định là MS17-010), nhưng mối đe dọa mà phần mềm độc hại này gây ra vẫn rất đáng kể do nhiều người dùng chưa cập nhật hệ thống của mình.

Trong quá trình phân tích kỹ thuật của chiến dịch, các chuyên gia của Kaspersky đã quan sát thấy những điểm tương đồng của StripedFly với phần mềm độc hại Equation. Chúng bao gồm các chỉ số kỹ thuật như chữ ký liên quan đến phần mềm độc hại Equation, cũng như phong cách mã hóa và cách thực hành tương tự như những gì được xác định trong phần mềm độc hại StraitBizzare (SBZ). Dựa trên số lượt tải xuống được hiển thị bởi kho lưu trữ phần mềm độc hại, số mục tiêu StripedFly ước tính đã đạt hơn một triệu nạn nhân trên toàn cầu.

Ông Sergey Lozhkin, Nhà nghiên cứu bảo mật chính tại GReAT cho biết: “Những nỗ lực trong việc đầu tư tạo ra cấu trúc phần mềm độc hại này thực sự đáng chú ý và việc tiết lộ về phần mềm độc hại này cũng khá kinh ngạc. Khả năng thích ứng và phát triển của các tác nhân đe dọa là một thách thức không ngừng. Đó cũng chính là lý do tại sao điều quan trọng đối với chúng tôi, với tư cách là các nhà nghiên cứu, là phải tiếp tục nỗ lực phát hiện và phổ biến về các mối đe dọa mạng tinh vi, đồng thời đảm bảo rằng các khách hàng không quên việc bảo vệ toàn diện”./.