Im Jahr 2022 stieß das Forschungs- und Analyseteam von Kaspersky auf zwei ungewöhnliche Erkennungen im Prozess von WININIT.EXE. Diese wurden durch Code-Sequenzen ausgelöst, die zuvor in der „Equation“-Malware beobachtet worden waren. Diese Aktivitäten sind mindestens seit 2017 im Gange und hatten sich einer früheren Analyse effektiv entzogen. Die Malware wurde bis dato als Kryptowährungs-Miner klassifiziert. Allerdings handelt es sich bei dieser Mining-Komponente nur um einen Bestandteil eines viel größeren plattformübergreifenden Malware-Frameworks mit mehreren Plugins.
Spionage und finanzieller Gewinn
Der Payload der Malware umfasst mehrere Module, die es dem Angreifer ermöglichen als APT, Krypto-Miner als auch Ransomware-Gruppe aufzutreten. Die Angreifer sind sowohl an Spionage als auch finanziellem Gewinn interessiert. Die durch das Modul geschürfte Kryptowährung Monero erreichte am 9. Januar 2018 mit 542,33 US-Dollar ihren Höchstwert. Im Jahr 2017 lag der Kurs noch bei rund 10 US-Dollar. Bis zum Jahr 2023 hat sich der Kurs bei etwa 150 US-Dollar eingependelt. Laut den Kaspersky-Experten ist das Mining-Modul der Hauptfaktor dafür, dass die Malware über einen längeren Zeitraum unentdeckt blieb. Der Angreifer, der hinter dieser Operation steckt, hat sich umfangreiche Fähigkeiten angeeignet, um seine Opfer auszuspionieren.
Weitere Untersuchungen von Kaspersky zeigen, dass die Malware ein speziell angefertigtes EternalBlue „SMBv1“-Exploit nutzte, um die Systeme der Opfer zu infiltrieren. Trotz des Bekanntwerdens der EternalBlue-Schwachstelle im Jahr 2017 und der anschließenden Veröffentlichung eines Patches durch Microsoft (MS17-010) [2] ist die Bedrohung durch diese Schwachstelle nach wie vor erheblich, da viele Nutzer ihre Systeme nicht aktualisiert haben.
Ähnlichkeit mit Equation-Malware
Bei der technischen Analyse stellten die Experten von Kaspersky Ähnlichkeiten mit der Equation-Malware fest. Dazu gehören technische Indikatoren wie Signaturen, die mit der Equation-Malware in Verbindung gebracht werden sowie ein Kodierungsstil und -verfahren, die denen der StraitBizzare (SBZ)-Malware ähneln. Basierend auf den Download-Zählern des Repositories, in dem die Malware gehostet wird, wird die Zahl der Opfer von StripedFly auf über eine Million weltweit geschätzt.
„Der Aufwand, der in die Entwicklung dieses Frameworks investiert wurde, ist bemerkenswert und seine Entdeckung ziemlich überraschend. Die Fähigkeit der Cyberkriminellen, sich anzupassen und weiterzuentwickeln, stellt eine ständige Herausforderung dar“, sagt Sergey Lozhkin von Kaspersky.
Neueste Kommentare
Noch keine Kommentare zu Komplexe Malware mit multifunktionalen Wurm-Framework
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.