Las amenazas cibernéticas evolucionan constantemente, desafiando tanto a los profesionales como a los usuarios a mantenerse un paso adelante. Una de estas amenazas emergentes es StripedFly, un marco de malware que, en un golpe maestro de subterfugio y eficacia, ha logrado infiltrarse en más de un millón de dispositivos que operan con Windows y Linux. En este artículo desglosaremos cómo StripedFly ha logrado esta hazaña y qué significa para la seguridad de la información en nuestra era digital.
StripedFly no es un malware común. Ha sido diseñado con un nivel de complejidad que le permite camuflarse con destreza y eficacia. ¿Cómo logra esto? A través de lo que se conoce como "polyglot files", archivos que pueden ser interpretados de manera válida como dos o más tipos de archivo diferentes. Esto confunde a los sistemas de seguridad, permitiendo que StripedFly se deslice por debajo del radar.
Kaspersky reveló el año pasado el verdadero propósito de un marco de malware que había estado activo desde 2017. Inicialmente, se creía que era simplemente un minador del criptoactivo Monero. Los expertos han calificado a StripeFly como extraordinariamente avanzado por sus técnicas de camuflaje que emplean la red TOR, sus actualizaciones automáticas provenientes de fuentes aparentemente legítimas, su habilidad de autodifusión al estilo de los gusanos informáticos y un exploit de SMBv1 EternalBlue propio, desarrollado incluso antes de que se expusiera la vulnerabilidad al público.
Aunque aún no se sabe con certeza si StripeFly fue diseñado para lucrarse o para actividades de ciberespionaje, su nivel de complejidad sugiere que estamos ante un APT (amenaza persistente avanzada), de acuerdo con Kaspersky.
El entramado de malware StripeFly salió a la luz cuando Kaspersky encontró su shellcode incrustado en WININIT.EXE, un componente esencial del sistema operativo Windows encargado de iniciar varios subsistemas.
El análisis detallado reveló que el código malicioso descargaba y ejecutaba archivos secundarios, incluyendo scripts de PowerShell, de plataformas de hosting legítimas como Bitbucket, GitHub y GitLab.
Los estudios posteriores indicaron que los dispositivos afectados probablemente cayeron víctimas de un exploit EternalBlue SMBv1 personalizado que apuntaba a sistemas accesibles desde internet. La carga final de StripeFly, denominada "system.img", incluye una versión propia y compacta de un cliente TOR para salvaguardar sus comunicaciones y evitar detecciones, además de desactivar el protocolo SMBv1 y dispersarse por la red utilizando SSH y EternalBlue, afectando tanto a Windows como a Linux.
El servidor de mando del malware, alojado en la red TOR, mantiene comunicación constante mediante señales que transmiten la identificación exclusiva de cada sistema comprometido. Para mantenerse en Windows, StripeFly modifica su táctica dependiendo del nivel de acceso del usuario y si PowerShell está disponible o no. Sin PowerShell, StripeFly se esconde creando un archivo en el directorio %APPDATA%. Con PowerShell activo, ejecuta scripts para instaurar tareas programadas o alterar claves del registro de Windows.
En sistemas Linux, se camufla bajo el nombre "sd-pam" y logra persistencia ya sea a través de servicios systemd, un archivo de autoinicio .desktop o alterando archivos de perfil y de inicio como /etc/rc*, profile, bashrc o inittab. El seguimiento al repositorio de Bitbucket implicado en las infecciones de Windows mostró casi 60.000 incidencias entre abril y septiembre de 2023.
Se calcula que StripeFly ha comprometido al menos 220.000 sistemas Windows desde febrero de 2022, sin contar las infecciones previas, desconocidas debido a la falta de registros antes de esa fecha, aunque el repositorio se estableció en 2018. Kaspersky estima que en total, StripeFly ha alcanzado la alarmante cifra de más de un millón de dispositivos infectados.
StripeFly funciona como un ejecutable binario compacto pero modular, dándole una flexibilidad operacional que comúnmente se encuentra en amenazas persistentes avanzadas (APT).
A continuación, te presentamos un desglose de los módulos de StripeFly según el reporte de Kaspersky:
El módulo de minería de Monero parece ser una táctica de distracción, mientras que el verdadero objetivo de los atacantes es el hurto de información y la explotación de sistemas, operaciones habilitadas por los otros módulos. El informe de Kaspersky señala: "La diversidad de módulos en la carga maliciosa permite que los atacantes actúen como un grupo APT, como mineros de criptomonedas y hasta como operadores de ransomware".
En cuanto a Monero, la criptomoneda alcanzó su punto más alto en valor el 9 de enero de 2018 con un precio de $542.33, una cifra significativa comparada con su valor cercano a $10 en 2017. Para 2023, ha estabilizado su valor en torno a los $150. Los analistas de Kaspersky subrayan que es el módulo de minería el que principalmente permite que el malware pase desapercibido durante largos períodos.
La lucha contra StripedFly, y malware de su calibre, no es sencilla, pero tampoco es imposible. Aquí hay algunas estrategias que usuarios y profesionales de IT pueden implementar:
Actualizaciones Constantes: Mantener el software actualizado es clave, ya que muchas actualizaciones incluyen parches de seguridad que pueden bloquear las vulnerabilidades que StripedFly explota.
Educación y Conciencia: Los usuarios deben estar informados sobre las amenazas y conocer las mejores prácticas de seguridad, como la precaución al abrir correos electrónicos o documentos desconocidos.
Soluciones de Seguridad Robustas: Utilizar soluciones de seguridad integral que incluyan antivirus, antimalware y firewalls avanzados es fundamental.
Monitoreo Continuo: Implementar sistemas de monitoreo que detecten actividad inusual puede ayudar a identificar y mitigar ataques rápidamente.
Podría interesarte: Concientización: Esencial en la Ciberseguridad de tu Empresa
StripedFly es un recordatorio de que la seguridad informática es una batalla constante, una en la que la vigilancia y la innovación son esenciales. El camino hacia un futuro ciberseguro está en la colaboración entre desarrolladores, expertos en seguridad y usuarios, trabajando juntos para crear entornos digitales más seguros y resistentes. A medida que las amenazas como StripedFly continúan surgiendo, nuestra capacidad para adaptarnos y responder a ellas determinará la robustez de nuestra infraestructura digital global.