Cuando diversos investigadores descubrieron el malware llamado StripeFly en algunos equipos de clientes que usaban el software Kaspersky en el año 2017, no estuvieron impresionados del todo. Ellos creían que se trataba de un criptominero común, diseñado por cibercriminales que, al mismo tiempo, no era muy exitoso.
En ese año ganó solo 10 dólares extrayendo ilegalmente la criptomoneda de nombre Monero, el siguiente año, el 2018, ganó alrededor de 500 dólares. Sin embargo, ha comenzado a aparecer nuevos tipos de criptominero en los equipos de clientes que usan kaspersky, además de los usuarios comunes, agencias del gobierno y grandes empresas comerciales. Por ello, están investigando más a fondo.
Uno de los analistas principales del equipo de análisis e investigación global de Kaspersky, ha detectado algo malicioso en un proceso, llamado WININIT.EXE, en los ordenadores de los clientes, el cual había sido activado por secuencias de código que se vieron en un malware empleado por hackers maliciosos del grupo Equation Group, adscrito a la NSA.
No obstante, al analizar de cerca el criptominero, los expertos descubrieron que era una tapadera para una plataforma de espionaje sofisticada, la cual ha infectado a más de 1 millón de víctimas alrededor del mundo, desde el año 2017. Este minero de criptomonedas es solo un componente de una compleja estructura que los investigadores llaman StripeFly.
Está diseñada para su ejecución en sistemas basados en Windows y en Linux, la cual tiene múltiples complementos que pueden brindar a los actores maliciosos amplias funcionalidades para el espionaje. Si bien estas funcionalidades son comunes para las plataformas espías de los gobiernos y países, ahora se encuentra en el mundo cibercriminal, en donde los expertos consideraron que era el minero de criptomonedas en sí.
TIC Defense está enfocado en brindar todo el apoyo necesario para robustecer los sistemas de defensa de tu empresa. Contamos con expertos que desarrollan herramientas y soluciones acordes a las necesidades de la infraestructura informática de tu organización. La ciberseguridad no es juego y puedes mantener a los hackers maliciosos fuera de tu alcance, gracias a nuestros productos.
Los componentes del espionaje incluyen aquellos que son empleados para recolectar credenciales de los equipos infectados, tales como el desvío de archivos PDF, videos, bases de datos, capturas de pantallas, grabar conversaciones a través de micrófonos, entre otros archivos valiosos de una computadora infectada.
Este sistema tiene una función de actualización, la cual permite a los atacantes publicar versiones nuevas, cada vez que se actualizan los sistemas operativos Linux y Windows. Este malware se elimina a través de archivos cifrados, que se almacenan en Gitlab, GitHub y Bitbucket.
Hay algunos aspectos adicionales que destacan de StripeFly; utiliza un cliente TOR realmente extraordinario, el cual está codificado a medida para transmitir comunicaciones y datos desviados entre los equipos infectados, además, tiene un servidor de comando y control de los hackers maliciosos. Además, tiene un componente de ransomware que también ha infectado a algunas víctimas.
La plataforma también emplea un exploit llamado EternalBlue, el cual está personalizado como vector inicial, desde donde se introduce el programa espía en las computadoras de las víctimas. Recordemos que este infame exploit de Windows ha sido creado y usado por un grupo de hackers de la NSA, cuando kaspersky descubrió las herramientas creadas por este grupo.
