StripedFly : un mineur espion auto-réplicable cachant un code sophistiqué

Les experts de Kaspersky ont découvert un malware très sophistiqué jusqu’alors inconnu baptisé StripedFly, qui s’est propagé à l’échelle mondiale. Depuis au moins 2017, StripedFly a affecté  plus d’un million de victimes. Agissant initialement comme un mineur de crypto-monnaie, il s’est avéré être un malware complexe doté d’une infrastructure multifonctionnelle auto-réplicable.

Tribune – En 2022, l’équipe Global Research & Analysis Team (GReAT) de Kaspersky a fait deux découvertes inattendues au sein du processus WININIT.EXE, provoquées par les séquences de code observées précédemment dans le malware Equation. En activité depuis au moins 2017, StripedFLy avait réussi à contourner les analyses antérieures, ayant été identifié à tort comme un mineur de crypto-monnaie. Après un examen approfondi du problème, il a été découvert que le mineur de crypto-monnaie n’était qu’un composant d’une entité beaucoup plus grande : une infrastructure malveillante complexe, multiplateforme et multiplugin.

La charge du logiciel malveillant comprend plusieurs modules, conférant à l’attaquant la capacité d’agir comme un APT, un mineur de crypto-monnaie, voire même comme un groupe de ransomware. Cette polyvalence élargit les motivations potentielles de l’attaquant, passant de la recherche de gains financiers à l’espionnage. On note en particulier que la crypto-monnaie Monero minée par ce module a atteint sa valeur maximale de 542,33 dollars le 9 janvier 2018, alors que sa valeur en 2017 était d’environ 10 dollars. En 2023, elle maintient sa valeur à environ 150 dollars. Les experts de Kaspersky soulignent le rôle prépondérant du module de minage, qui demeure le principal facteur permettant au malware de rester indétecté sur une durée prolongée.

Source