{"id":1030641,"date":"2023-11-04T16:31:07","date_gmt":"2023-11-04T16:31:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-stripefly-funciono-desapercibido-durante-5-anos-e-infecto-1-millon-de-dispositivos\/"},"modified":"2023-11-04T16:31:11","modified_gmt":"2023-11-04T16:31:11","slug":"el-malware-stripefly-funciono-desapercibido-durante-5-anos-e-infecto-1-millon-de-dispositivos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-stripefly-funciono-desapercibido-durante-5-anos-e-infecto-1-millon-de-dispositivos\/","title":{"rendered":"El malware StripeFly funcion\u00f3 desapercibido durante 5 a\u00f1os e infect\u00f3 1 mill\u00f3n de dispositivos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/El-malware-StripeFly-funciono-desapercibido-durante-5-anos-e-infecto.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado pasar desapercibida durante m\u00e1s de cinco a\u00f1os, infectando no menos de un mill\u00f3n de dispositivos en todo el mundo en el proceso.<\/p>\n<p>Esto es seg\u00fan los hallazgos de Kaspersky, que le ha puesto a la amenaza el nombre en c\u00f3digo <strong>mosca rayada<\/strong>describi\u00e9ndolo como un &#8220;marco modular intrincado que admite tanto Linux como Windows&#8221;.<\/p>\n<p>El proveedor ruso de ciberseguridad, que detect\u00f3 las muestras por primera vez en 2017, dijo que el minero es parte de una entidad mucho m\u00e1s grande que emplea un exploit EternalBlue SMBv1 personalizado atribuido a Equation Group para infiltrarse en sistemas de acceso p\u00fablico.<\/p>\n<p>El shellcode malicioso, entregado a trav\u00e9s del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, as\u00ed como ejecutar scripts de PowerShell.  Tambi\u00e9n admite una colecci\u00f3n de funciones ampliables similares a complementos para recopilar datos confidenciales e incluso desinstalarse.<\/p>\n<p>El c\u00f3digo shell de la plataforma se inyecta en el <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/cant-wait-to-shut-you-down-msrpc-wininit\" target=\"_blank\">proceso wininit.exe<\/a>un proceso leg\u00edtimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja el <a rel=\"nofollow noopener\" href=\"https:\/\/renenyffenegger.ch\/notes\/Windows\/dirs\/Windows\/System32\/wininit_exe\" target=\"_blank\">inicializaci\u00f3n<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@boutnaru\/the-windows-process-journey-wininit-exe-windows-start-up-application-5581bfe6a01e\" target=\"_blank\">Varios servicios<\/a>.<\/p>\n<p>&#8220;La carga \u00fatil del malware en s\u00ed est\u00e1 estructurada como un c\u00f3digo ejecutable binario monol\u00edtico dise\u00f1ado para admitir m\u00f3dulos conectables para ampliar o actualizar su funcionalidad&#8221;, afirman los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/stripedfly-perennially-flying-under-the-radar\/110903\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada.<\/p>\n<p>&#8220;Viene equipado con un t\u00fanel de red TOR incorporado para la comunicaci\u00f3n con servidores de comando, junto con funcionalidad de actualizaci\u00f3n y entrega a trav\u00e9s de servicios confiables como GitLab, GitHub y Bitbucket, todos usando archivos cifrados personalizados&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/wiz-inside-desk\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Turla-actualiza-la-puerta-trasera-Kazuar-con-antianalisis-avanzado-para.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Otros m\u00f3dulos esp\u00eda notables le permiten recopilar credenciales cada dos horas, realizar capturas de pantalla en el dispositivo de la v\u00edctima sin ser detectado, registrar la entrada del micr\u00f3fono e iniciar un proxy inverso para ejecutar acciones remotas.<\/p>\n<p>Al lograr un punto de apoyo exitoso, el malware procede a deshabilitar el protocolo SMBv1 en el host infectado y propaga el malware a otras m\u00e1quinas usando un m\u00f3dulo de desparasitaci\u00f3n a trav\u00e9s de SMB y SSH, utilizando claves recopiladas en los sistemas pirateados.<\/p>\n<p>StripeFly logra persistencia modificando el Registro de Windows o creando entradas en el programador de tareas si el int\u00e9rprete de PowerShell est\u00e1 instalado y hay acceso administrativo disponible.  En Linux, la persistencia se logra mediante un servicio de usuario systemd, un archivo .desktop de inicio autom\u00e1tico o modificando archivos \/etc\/rc*, perfil, bashrc o inittab.<\/p>\n<p>Tambi\u00e9n se descarg\u00f3 un minero de criptomonedas Monero que aprovecha las solicitudes DNS sobre HTTPS (DoH) para resolver los servidores del grupo, agregando una capa adicional de sigilo a las actividades maliciosas.  Se ha evaluado que el minero se utiliza como se\u00f1uelo para evitar que el software de seguridad descubra todo el alcance de las capacidades del malware.<\/p>\n<p>En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como archivos binarios cifrados en varios servicios de alojamiento de repositorios de c\u00f3digo, como Bitbucket, GitHub o GitLab.<\/p>\n<p>Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de atender la carga \u00fatil de infecci\u00f3n inicial tanto en Windows como en Linux, buscar nuevas actualizaciones y, en \u00faltima instancia, actualizar el malware.<\/p>\n<p>La comunicaci\u00f3n con el servidor de comando y control (C2), que est\u00e1 alojado en la red TOR, se realiza mediante una implementaci\u00f3n ligera y personalizada de un cliente TOR que no se basa en ning\u00fan m\u00e9todo documentado p\u00fablicamente.<\/p>\n<p>&#8220;El nivel de dedicaci\u00f3n demostrado por esta funcionalidad es notable&#8221;, dijeron los investigadores.  &#8220;El objetivo de ocultar el servidor C2 a toda costa impuls\u00f3 el desarrollo de un proyecto \u00fanico y que requiri\u00f3 mucho tiempo: la creaci\u00f3n de su propio cliente TOR.&#8221;<\/p>\n<p>Otra caracter\u00edstica sorprendente es que estos repositorios act\u00faan como mecanismos alternativos para que el malware descargue los archivos de actualizaci\u00f3n cuando su fuente principal (es decir, el servidor C2) deja de responder.<\/p>\n<p>Kaspersky dijo que descubri\u00f3 adem\u00e1s una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de c\u00f3digo fuente con StripeFly, salvo la ausencia del m\u00f3dulo de infecci\u00f3n SMBv1.  Se dice que ThunderCrypt se utiliz\u00f3 contra objetivos en Taiw\u00e1n en 2017.<\/p>\n<p>Los or\u00edgenes de StripeFly siguen siendo desconocidos actualmente, aunque la sofisticaci\u00f3n del marco y sus paralelos con EternalBlue exhiben todas las caracter\u00edsticas de un actor de amenaza persistente avanzada (APT).<\/p>\n<p>Vale la pena se\u00f1alar que, si bien la filtraci\u00f3n del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versi\u00f3n identificada de StripeFly que incorpora EternalBlue data del 9 de abril de 2016, hace un a\u00f1o. Desde la filtraci\u00f3n, el exploit EternalBlue ha sido reutilizado por equipos de pirater\u00eda norcoreanos y rusos para difundir el <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/smb-exploited-wannacry-use-of-eternalblue\" target=\"_blank\">Quiero llorar<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/petya-ransomware-spreading-via-eternalblue-exploit\" target=\"_blank\">Petia<\/a> malware.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dicho esto, tambi\u00e9n hay evidencia de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en l\u00ednea, como lo revel\u00f3 Check Point en febrero de 2021.<\/p>\n<p>Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, tambi\u00e9n se reflejan en el estilo de codificaci\u00f3n y las pr\u00e1cticas similares a las observadas en <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@botherder\/everything-we-know-of-nsa-and-five-eyes-malware-e8eac172d3b5\" target=\"_blank\">ESTRECHO EXTRA\u00d1O<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/apt.securelist.com\/apt\/sbz\" target=\"_blank\">SBZ<\/a>), otro <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt-trends-report-q2-2022\/106995\/\" target=\"_blank\">plataforma de ciberespionaje<\/a> ejercido por el colectivo adversario sospechoso de estar vinculado a Estados Unidos.<\/p>\n<p>El desarrollo se produce casi dos a\u00f1os despu\u00e9s de que investigadores del Pangu Lab de China detallaran una puerta trasera de &#8220;primer nivel&#8221; llamada Bvp47 que supuestamente fue utilizada por Equation Group en m\u00e1s de 287 objetivos que abarcan m\u00faltiples sectores en 45 pa\u00edses.<\/p>\n<p>No hace falta decir que un aspecto crucial de la campa\u00f1a que sigue siendo un misterio (aparte de quienes dise\u00f1aron el malware) es su verdadero prop\u00f3sito.<\/p>\n<p>&#8220;Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qu\u00e9 no optaron por el camino potencialmente m\u00e1s lucrativo&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Es dif\u00edcil aceptar la idea de que un malware tan sofisticado y dise\u00f1ado profesionalmente sirva para un prop\u00f3sito tan trivial, dada toda la evidencia que demuestra lo contrario&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/stripedfly-malware-operated-unnoticed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado pasar desapercibida<\/p>\n","protected":false},"author":1,"featured_media":1030642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,205,4661,4664,59520,5718,885,4662,21338,44571,4668,201033,4669,3450,4654,201031,4659,4653,4655,4666,4665,201032,213838,4660],"class_list":["post-1030641","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-anos","tag-ataques-ciberneticos","tag-como-hackear","tag-desapercibido","tag-dispositivos","tag-durante","tag-filtracion-de-datos","tag-funciono","tag-infecto","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-millon","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-stripefly","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1030641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1030641"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1030641\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1030642"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1030641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1030641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1030641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}