Майнер-червь StripedFly с задатками шпиона летает ниже уровня радаров
Главная » Новости

Майнер-червь StripedFly с задатками шпиона летает ниже уровня радаров

Татьяна Никитина 26 Октября 2023 - 19:03
...
Майнер-червь StripedFly с задатками шпиона летает ниже уровня радаров

Выступая на Security Analyst Summit, эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) рассказали о модульном зловреде StripedFly, которого можно использовать как шпиона, шифровальщика или криптомайнер.

С 2017 года вредонос, умеющий самостоятельно распространяться по SSH и через эксплойт EternalBlue (CVE-2017-0144), собрал более 1 млн жертв по всему миру. Долгое время его принимали за обычный майнер Monero; всесторонний анализ показал, что это сложная программа с многофункциональным фреймворком, совместимая и с Windows, и с Linux.

Встроенный облегченный вариант Tor-клиента обеспечивает связь с C2-сервером, поднятым в анонимной сети. В цепочке заражения Windows большую роль играет системный процесс wininit.exe; основной пейлоад и плагины закачиваются с Bitbucket, GitLab и GitHub.

 

Проведенный в Kaspersky анализ также выявил большое сходство с вредоносной программой StraitBizzare (SBZ), которую некогда использовала Equation Group. Шпионские функции StripedFly включают следующие возможности:

  • сбор и отправку на C2 подробной информации о зараженной системе;
  • обеспечение удаленного доступа;
  • сканирование с целью кражи хранимых ПДн и учётных данных, в том числе к SSH, из браузеров и популярных клиентских программ (каждые два часа);
  • скриншоты;
  • запись с микрофона.

Модуль-майнер работает как отдельный процесс, маскируясь под Google Chrome. Одна из ранних версий StripedFly использовала базовый код шифровальщика ThunderCrypt и была поразительно схожа с ним по набору функций и модулей. Более того, оба зловреда получали команды с одного и того же сервера в сети Tor.

«Количество усилий, которые были приложены для создания этого фреймворка, поистине впечатляют, — отметил эксперт Kaspersky Сергей Ложкин. — Основная сложность для специалистов в области кибербезопасности заключается в том, что злоумышленники постоянно адаптируются к меняющимся условиям. Поэтому нам, исследователям, важно объединять усилия по выявлению сложных киберугроз, а клиентам — не забывать о комплексной защите от кибератак».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Эксперт НАФИ назвала самые опасные схемы, связанные с поиском работы
Яков Шпунт 18 Июня 2025 - 13:07
МошенничествоДроп (дроппер) Домашние пользователи
Эксперт НАФИ назвала самые опасные схемы, связанные с поиском работы

Эксперт проекта Научно-исследовательского финансового института (НИФИ) Минфина России «Моифинансы.рф» Ольга Дайнеко назвала самыми опасными мошенническими схемами при поиске работы вовлечение в транзит денежных средств и доставку неизвестных посылок.

Как предупредила эксперт в комментарии для «Газеты.ru», подобные «подработки» могут привести к уголовной ответственности.

По её словам, наибольшую опасность представляет деятельность «курьера по особым поручениям», когда соискателю предлагают передавать деньги или посылки, строго следуя инструкциям. Если такая схема связана с незаконной деятельностью, риск оказаться соучастником преступления крайне высок.

Также, по оценке эксперта, потенциальных «дропов» мошенники часто вербуют не напрямую, а через вакансии администраторов групп в соцсетях и мессенджерах. В обязанности таких «администраторов» входит якобы ведение учета средств, сбор пожертвований или призов.

«В подобных случаях человек использует свои банковские карты для приёма и обналичивания поступлений. Это, пожалуй, один из самых опасных видов “подработки” — он грозит обвинением в соучастии в преступлении и уголовным преследованием», — предупреждает Ольга Дайнеко.

По её словам, всё ещё распространены схемы с «вложениями», оплатой обучения или использованием личных банковских карт. Также участились случаи, когда соискателям предлагают заранее оплатить налог на доходы (НДФЛ) — после перевода средств «работодатели» исчезают. Кроме того, мошенники требуют выполнения объёмных заданий под видом тестовых.

Не теряет актуальности и схема с фиктивными покупками на маркетплейсах. Похожим образом действуют и под видом сервисов бронирования или продажи билетов.

В последнее время мошенников всё чаще интересует не только получение денег, но и сбор персональных данных. Это проявляется в требованиях предоставить копии документов, информацию о семье и имущественном положении уже на этапе заполнения анкеты.

С декабря 2024 года начала распространяться схема с фальшивым трудоустройством в пункты выдачи заказов: соискателей вынуждали устанавливать вредоносную программу. Позже также была выявлена схема кредитного мошенничества — займы оформлялись на имена подставных лиц, часто непрофессиональных актёров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Перми задержали сотрудников салона мобильной связи за фиктивные продажи
Новость
В Перми задержали сотрудников салона мобильной связи за фикт...
Черные хакеры переключились на шпионаж и сложные атаки
Новость
Черные хакеры переключились на шпионаж и сложные атаки
В системах ГИБДД произошел масштабный сбой
Новость
В системах ГИБДД произошел масштабный сбой

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.