StrippedFly : Un Malware Sophistiqué en Action

Introduction Kaspersky, le célèbre éditeur de logiciels de sécurité, a récemment mis au jour le logiciel malveillant StripedFly, qui a discrètement sévi pendant cinq ans. Ce malware sophistiqué a infecté plus d’un million de machines sous Windows et Linux dans le monde entier, se faisant passer pour un mineur de cryptomonnaie Monero. Cette menace informatique, capable de rester indétectable grâce à diverses techniques, suscite des inquiétudes majeures dans la communauté de la cybersécurité. Les Détails de StripedFly

• L’Infection et la Propagation

  StripedFly a réussi à infecter des machines sous Windows et Linux en se comportant comme un ver informatique. Il a largement exploité la faille de sécurité EternalBlue du protocole SMBv1, bien avant que cette vulnérabilité ne soit publiquement divulguée. L’exploit utilisé par les cybercriminels a permis à StripedFly de se propager efficacement d’une machine à une autre.

• Techniques d’Évasion

  Pour échapper à la détection, StripedFly a utilisé plusieurs techniques. Notamment, il masquait son trafic en passant par le réseau TOR pour communiquer avec le serveur C2 des cybercriminels. De plus, le malware était capable de se mettre à jour en récupérant des données depuis des fournisseurs de confiance tels que GitLab, GitHub et Bitbucket.

• Méthodes d’Infection

  L’article détaille également les méthodes d’infection spécifiques pour Windows et Linux. Sur Windows, StripedFly était détecté dans le processus WININIT.EXE, ayant la capacité de télécharger des fichiers binaires depuis Bitbucket et d’exécuter des scripts PowerShell. Quant aux machines Linux, le malware utilisait le nom “sd-pam” et parvenait à rester persistant en manipulant le gestionnaire de services systemd ou en modifiant des fichiers de démarrage cruciaux.

• Fonctionnalités de StripedFly

  StripedFly disposait d’un ensemble de modules pour collecter et exfiltrer des données sensibles sur les machines infectées, incluant des mots de passe et des noms d’utilisateur. De plus, il pouvait exécuter d’autres codes malveillants, prendre des captures d’écran, exécuter des tâches à intervalle régulier, et même simuler l’activité d’un mineur de cryptomonnaie Monero.

• Liaison avec ThunderCrypt

Une découverte intéressante faite par Kaspersky est que StripedFly communiquait avec le même serveur C2 que le ransomware ThunderCrypt.     Conclusion La menace représentée par StripedFly, active pendant cinq ans avant d’être détectée, souligne la nécessité constante de renforcer la cybersécurité. Ce logiciel malveillant sophistiqué a infecté un nombre impressionnant de machines, mettant en évidence l’importance de la vigilance et de la mise à jour des systèmes pour protéger nos données et nos ordinateurs.