Los expertos de Kaspersky han descubierto StripeFly, un malware muy sofisticado y desconocido hasta la fecha. Su alcance es global y ya ha atacado, como mínimo, a más de un millón de víctimas desde 2017. Comenzó como un minero de criptomonedas pero se ha transformado en un malware mucho más complejo.
En 2022, el equipo de análisis global de Kaspersky hizo dos hallazgos inesperados en el componente de software de Microsoft WININIT.EXE. Se trataba de secuencias de código vistas con anterioridad en el malware Equation. StripeFly había estado activo desde al menos 2017 y había logrado evadir análisis anteriores, siendo clasificado erróneamente como un minero de criptomonedas. Tras realizar un exhaustivo examen, los expertos de Kaspersky han descubierto que es una amenaza mucho más compleja, multiplataforma y modular.
El malware cuenta con diversos módulos, lo que le permite actuar como amenaza persistente avanzada (APT), como criptominero e incluso como ransomware. Tiene diferentes objetivos, desde el puramente financiero hasta el espionaje. Los expertos de Kaspersky subrayan que el módulo de minería es el que permite al malware evitar la detección durante periodos prolongados.
StripeFly ha desarrollado grandes capacidades para el espionaje. Recopila credenciales e información de la víctima cada dos horas: claves de inicio de sesión WIFI, datos personales como nombre, dirección, número de teléfono, empresa y puesto de trabajo. Además, puede realizar capturas de pantalla del dispositivo de la víctima sin ser detectado, hacerse con el control del mismo o activar la grabación desde el micrófono.
Los expertos de Kaspersky revelaron el uso de un exploit EternalBlue ‘SMBv1’ personalizado para infiltrarse en los sistemas de las víctimas. A pesar de la divulgación de EternalBlue en 2017 y el posterior lanzamiento de un parche por parte de Microsoft (llamado MS17-010), sigue siendo una amenaza porque muchos usuarios no han actualizado sus sistemas.
El análisis técnico detectó similitudes con el malware Equation y prácticas de codificación similares a las vistas en StraitBizzare (SBZ). StripeFly fue descargado por más de un millón de víctimas en todo el mundo, según el contador del repositorio en el que el malware estaba alojado.
“La cantidad de horas invertidas en la creación de esta amenaza es sorprendente. La capacidad de los ciberdelincuentes para adaptarse y evolucionar es un desafío constante. Por ello, usuarios y empresas no deben olvidar protegerse. Nosotros, por nuestra parte, seguiremos esforzándonos en descubrir y difundir amenazas”, asegura Sergey Lozhkin, Investigador Principal de Seguridad del equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
Más información
- Alerta de falsas actualizaciones de Chrome, Firefox o Edge en español para robar datos o distribuir ransomware
- Claves para no ser víctima de un ciberataque durante el Black Friday
- 6 consejos para evitar ser víctima del ransomware
- Las estafas online más comunes que ponen en jaque a 6 de cada 10 españoles