Underc0de

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado volar el radar durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Eso es según los hallazgos de Kaspersky, que ha nombrado a la amenaza StripedFly, describiéndola como un "intrincado marco modular que admite tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También es compatible con una colección de funciones expandibles similares a complementos para recopilar datos confidenciales e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inserta en el proceso wininit.exe, un proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicialización de varios servicios.

"La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para extender o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Viene equipado con un túnel de red TOR incorporado para la comunicación con los servidores de comando, junto con la funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos utilizando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al afianzarse con éxito, el malware procede a desactivar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas utilizando un módulo de gusano a través de SMB y SSH, utilizando claves recogidas en los sistemas pirateados.

StripedFly logra la persistencia modificando el Registro de Windows o creando entradas del programador de tareas si el intérprete de PowerShell está instalado y el acceso administrativo está disponible. En Linux, la persistencia se logra por medio de un servicio de usuario systemd, un archivo .desktop autoiniciado o modificando los archivos /etc/rc*, profile, bashrc o inittab.

También se ha descargado un minero de criptomonedas Monero que aprovecha las solicitudes de DNS sobre HTTPS (DoH) para resolver los servidores del grupo, lo que añade una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra el alcance total de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil inicial de la infección tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se lleva a cabo mediante una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método documentado públicamente.

"El nivel de dedicación demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requiere mucho tiempo: la creación de su propio cliente TOR".

Otra característica llamativa es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripedFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly siguen siendo desconocidos en la actualidad, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripedFly que incorpora EternalBlue data de hace un año, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de hackers norcoreanos y rusos para propagar el malware WannaCry y Petya.

Dicho esto, también hay pruebas de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las observadas en STRAITBIZARRE, otra plataforma de espionaje cibernético manejada por el presunto colectivo adversario vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que los investigadores del Pangu Lab de China detallaran una puerta trasera de "primer nivel" llamada Bvp47 que supuestamente fue utilizada por el Grupo de Ecuación en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo", dijeron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia de lo contrario".

Fuente: https://thehackernews.com