Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El malware StripeFly funcionó desapercibido durante 5 años e infectó 1 millón de dispositivos
  • Tecnología

El malware StripeFly funcionó desapercibido durante 5 años e infectó 1 millón de dispositivos

teknomers 4 de Kasım de 2023 (Last updated: 4 de Kasım de 2023) 6 minutes read
El malware StripeFly funcionó desapercibido durante 5 años e infectó


Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado pasar desapercibida durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Esto es según los hallazgos de Kaspersky, que le ha puesto a la amenaza el nombre en código mosca rayadadescribiéndolo como un “marco modular intrincado que admite tanto Linux como Windows”.

El proveedor ruso de ciberseguridad, que detectó las muestras por primera vez en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit EternalBlue SMBv1 personalizado atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También admite una colección de funciones ampliables similares a complementos para recopilar datos confidenciales e incluso desinstalarse.

El código shell de la plataforma se inyecta en el proceso wininit.exeun proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja el inicialización de Varios servicios.

“La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para ampliar o actualizar su funcionalidad”, afirman los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin. dicho en un informe técnico publicado la semana pasada.

“Viene equipado con un túnel de red TOR incorporado para la comunicación con servidores de comando, junto con funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos usando archivos cifrados personalizados”.

La seguridad cibernética

Otros módulos espía notables le permiten recopilar credenciales cada dos horas, realizar capturas de pantalla en el dispositivo de la víctima sin ser detectado, registrar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al lograr un punto de apoyo exitoso, el malware procede a deshabilitar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas usando un módulo de desparasitación a través de SMB y SSH, utilizando claves recopiladas en los sistemas pirateados.

StripeFly logra persistencia modificando el Registro de Windows o creando entradas en el programador de tareas si el intérprete de PowerShell está instalado y hay acceso administrativo disponible. En Linux, la persistencia se logra mediante un servicio de usuario systemd, un archivo .desktop de inicio automático o modificando archivos /etc/rc*, perfil, bashrc o inittab.

También se descargó un minero de criptomonedas Monero que aprovecha las solicitudes DNS sobre HTTPS (DoH) para resolver los servidores del grupo, agregando una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra todo el alcance de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como archivos binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de atender la carga útil de infección inicial tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se realiza mediante una implementación ligera y personalizada de un cliente TOR que no se basa en ningún método documentado públicamente.

“El nivel de dedicación demostrado por esta funcionalidad es notable”, dijeron los investigadores. “El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requirió mucho tiempo: la creación de su propio cliente TOR.”

Otra característica sorprendente es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripeFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripeFly siguen siendo desconocidos actualmente, aunque la sofisticación del marco y sus paralelos con EternalBlue exhiben todas las características de un actor de amenaza persistente avanzada (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripeFly que incorpora EternalBlue data del 9 de abril de 2016, hace un año. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de piratería norcoreanos y rusos para difundir el Quiero llorar y Petia malware.

La seguridad cibernética

Dicho esto, también hay evidencia de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como lo reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas similares a las observadas en ESTRECHO EXTRAÑO (SBZ), otro plataforma de ciberespionaje ejercido por el colectivo adversario sospechoso de estar vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que investigadores del Pangu Lab de China detallaran una puerta trasera de “primer nivel” llamada Bvp47 que supuestamente fue utilizada por Equation Group en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio (aparte de quienes diseñaron el malware) es su verdadero propósito.

“Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo”, dijeron los investigadores.

“Es difícil aceptar la idea de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia que demuestra lo contrario”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: De 42 a 90 pulgadas: descripción general de los soportes de pared recomendados para televisores
Next: ¿Qué planean hacer los partidos políticos con la ciencia? Toda la atención a la innovación y al post-covid

Related Stories

Para las guarderías, el Estado lanza una API que permite
  • Tecnología

Para las guarderías, el Estado lanza una API que permite a los padres calcular automáticamente la tarifa

teknomers 11 de Temmuz de 2026
OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto:
  • Tecnología

OpenAI cierra ChatGPT Atlas, Perplexity Comet está en punto muerto: ¿qué futuro para los navegadores IA?

teknomers 11 de Temmuz de 2026
Scaleway (Iliad) compra al francés Qarnot, para un cloud más
  • Tecnología

Scaleway (Iliad) compra al francés Qarnot, para un cloud más verde y un reciclaje de la calor

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Donald Trump amenaza con « diezmarlos y destruirlos completamente » si Irán intenta asesinarlo

teknomers 11 de Temmuz de 2026
Para las guarderías, el Estado lanza una API que permite
  • Tecnología

Para las guarderías, el Estado lanza una API que permite a los padres calcular automáticamente la tarifa

teknomers 11 de Temmuz de 2026
Séméac. El camión Prévent’TIMM se instala para facilitar la detección
  • salud

Séméac. El camión Prévent’TIMM se instala para facilitar la detección de cánceres

teknomers 11 de Temmuz de 2026
El hombre asesinado por agentes de ICE en Texas no
  • Entretenimiento

El hombre asesinado por agentes de ICE en Texas no era el objetivo previsto

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.