Según el proveedor de antivirus Kaspersky, un poderoso malware se ha estado disfrazando como un trivial minero de criptomonedas para ayudarlo a evadir la detección durante más de cinco años.
Este malware llamado «StripedFly» ha infectado más de 1 millón de computadoras con Windows y Linux en todo el mundo desde 2016, afirma Kaspersky en un informe publicado hoy.
Los investigadores de seguridad de la compañía comenzaron a investigar la amenaza el año pasado cuando notaron que los productos antivirus de Kaspersky señalaban dos detecciones en WINNIT.exe, que ayuda al inicio del sistema operativo Windows.
Luego, las detecciones se rastrearon hasta StripeFly, que originalmente estaba clasificado como un minero de criptomonedas. Pero tras un examen más detallado, los investigadores de Kaspersky notaron que el minero es simplemente un componente de un malware mucho más complejo que adopta técnicas que se cree provienen de la Agencia de Seguridad Nacional de Estados Unidos.
Específicamente, StripeFly incorporó una versión de EternalBlue, el famoso exploit desarrollado por la NSA que luego se filtró y se utilizó en el ataque de ransomware WannaCry para infectar cientos de miles de máquinas con Windows en 2017.
(Crédito: Kaspersky)
Según Kaspersky, StripeFly utiliza su propio ataque EternalBlue personalizado para infiltrarse en sistemas Windows sin parches y propagarse silenciosamente por la red de la víctima, incluidas las máquinas Linux. Luego, el malware puede recopilar datos confidenciales de las computadoras infectadas, como credenciales de inicio de sesión y datos personales.
«Además, el malware puede capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, obtener un control significativo sobre la máquina e incluso grabar la entrada del micrófono», agregaron los investigadores de seguridad de la compañía.
Para evadir la detección, los creadores detrás de StripeFly optaron por un método novedoso al agregar un módulo de minería de criptomonedas para evitar que los sistemas antivirus descubran todas las capacidades del malware. «Periódicamente, la funcionalidad de malware dentro del módulo principal monitorea el proceso de minería de marionetas y lo reinicia si es necesario», agregó Kaspersky. «También informa diligentemente la tasa de hash, el tiempo de trabajo, los nonces descubiertos y las estadísticas de errores al servidor C2».
No está claro quién desarrolló StripeFly. Aunque el malware contiene un ataque que se originó en la NSA, el exploit EternalBlue de la agencia se filtró al público en abril de 2017 a través de un misterioso grupo conocido como «Shadow Brokers».
Recomendado por nuestros editores
Un año antes, antes de la filtración, también se detectó a presuntos piratas informáticos chinos utilizando el exploit EternalBlue. Mientras tanto, Kaspersky señala que la primera detección de StripeFly se remonta al 9 de abril de 2016. Además de todo esto, se utilizó una versión de StripeFly en un ataque de ransomware llamado ThunderCrypt, lo que hace que el objetivo final del malware sea menos claro.
Pero finalmente parece que el malware logró sus objetivos. Aunque Microsoft lanzó un parche para EternalBlue en marzo de 2017, muchos sistemas Windows no pudieron instalarlo, lo que permitió a StripeFly aprovecharlo.
«Creado hace bastante tiempo, StripeFly sin duda ha cumplido su propósito al evadir con éxito la detección a lo largo de los años», añadió Kaspersky. «Se han investigado muchos programas maliciosos sofisticados y de alto perfil, pero éste destaca y realmente merece atención y reconocimiento».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de seguridad boletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.