Komplexe Malware mit multifunktionalen Wurm-Framework befällt über eine Millionen Nutzer weltweit

Experten von Kaspersky haben eine bisher unbekannte, hochentwickelte Malware ‚StripedFly‘ entdeckt, die weltweit seit mindestens 2017 mehr als eine Million Nutzer angegriffen hat. Die Malware wurde ursprünglich fälschlicherweise als Krypto-Miner deklariert, der sich jedoch als komplexe Malware mit einem multifunktionalen Wurm-Framework entpuppte. Die Malware ist in der Lage, Login-Daten sowie weitere sensible Informationen wie Website- und WLAN-Zugangsdaten sowie Details über das Opfer zu sammeln.

Im Jahr 2022 stieß das globale Forschungs- und Analyseteam (GReAT) von Kaspersky auf zwei ungewöhnliche Erkennungen im Prozess von WININIT.EXE. Diese wurden durch Code-Sequenzen ausgelöst, die zuvor in der „Equation“-Malware beobachtet worden waren. Diese Aktivitäten sind mindestens seit 2017 im Gange und hatten sich einer früheren Analyse effektiv entzogen. Die Malware wurde bis dato als Kryptowährungs-Miner klassifiziert. Allerdings handelt es sich bei dieser Mining-Komponente nur um einen Bestandteil eines viel größeren plattformübergreifenden Malware-Frameworks mit mehreren Plugins.

Der Payload der Malware umfasst mehrere Module, die es dem Angreifer ermöglichen als APT (Advanced Persistent Threat), Krypto-Miner als auch Ransomware-Gruppe aufzutreten. Die Angreifer sind sowohl an Spionage als auch finanziellem Gewinn interessiert. Die durch das Modul geschürfte Kryptowährung Monero erreichte am 9. Januar 2018 mit 542,33 US-Dollar ihren Höchstwert. Im Jahr 2017 lag der Kurs noch bei rund 10 US-Dollar. Bis zum Jahr 2023 hat sich der Kurs bei etwa 150 US-Dollar eingependelt. Laut den Kaspersky-Experten ist das Mining-Modul der Hauptfaktor dafür, dass die Malware über einen längeren Zeitraum unentdeckt blieb.

Der Angreifer, der hinter dieser Operation steckt, hat sich umfangreiche Fähigkeiten angeeignet, um seine Opfer auszuspionieren.  

Weitere Untersuchungen von Kaspersky zeigen, dass die Malware ein speziell angefertigtes EternalBlue „SMBv1“-Exploit nutzte, um die Systeme der Opfer zu infiltrieren. Trotz des Bekanntwerdens der EternalBlue-Schwachstelle im Jahr 2017 und der anschließenden Veröffentlichung eines Patches durch Microsoft (MS17-010) [2] ist die Bedrohung durch diese Schwachstelle nach wie vor erheblich, da viele Nutzer ihre Systeme nicht aktualisiert haben.

Bei der technischen Analyse stellten die Experten von Kaspersky Ähnlichkeiten mit der Equation-Malware fest. Dazu gehören technische Indikatoren wie Signaturen, die mit der Equation-Malware in Verbindung gebracht werden sowie ein Kodierungsstil und -verfahren, die denen der StraitBizzare (SBZ)-Malware ähneln. Basierend auf den Download-Zählern des Repositories, in dem die Malware gehostet wird, wird die Zahl der Opfer von StripedFly auf über eine Million weltweit geschätzt.

„Der Aufwand, der in die Entwicklung dieses Frameworks investiert wurde, ist bemerkenswert und seine Entdeckung ziemlich überraschend. Die Fähigkeit der Cyberkriminellen, sich anzupassen und weiterzuentwickeln, stellt eine ständige Herausforderung dar“, kommentiert Sergey Lozhkin, Principal Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Deshalb ist es für uns als Experten wichtig, uns weiterhin der Aufdeckung und Verbreitung ausgeklügelter Cyberbedrohungen zu widmen, und für unsere Kunden, den umfassenden Schutz vor Cyberkriminalität zu ermöglichen.“ 

Kaspersky-Empfehlungen zum Schutz vor bekannten und unbekannten Bedrohungen

• Software, Apps und Betriebssystem regelmäßig aktualisieren, um potenzielle Sicherheitslücken zu schließen.
• Bei E-Mails, Nachrichten oder Anrufen, in denen nach vertraulichen Informationen gefragt wird, Vorsicht walten lassen. Keine persönlichen Daten ohne Weiteres preisgeben oder auf verdächtige Links klicken.
• Das SOC-Team sollte Zugang zu den aktuellsten Bedrohungsdaten haben. Das Kaspersky Threat Intelligence Portal [3] bietet Daten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.
• Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen, wie jene, die von Kasperskys GReAT-Experten [4] entwickelt werden, durchgeführt werden.
• EDR-Lösungen wie Kaspersky Endpoint Detection and Response (EDR) [5] implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.

Weitere Informationen zu StripedFly sind verfügbar unter https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/

[1] https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/
[2] https://learn.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
[4] https://xtraining.kaspersky.com
[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

Nützliche Links:

• Kaspersky-Analyse: https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Online Cybersecurity Training for Experts: https://xtraining.kaspersky.com
• Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr