Эксперты «Лаборатории Касперского» обнаружили ранее неизвестную и крайне сложную вредоносную атаку, которая получила название StripedFly. Как отмечает пресс-служба, с 2017 года её жертвами стали более миллиона пользователей по всему миру, сейчас она продолжается, хоть и менее активно.
Долгое время предполагалось, что зловред представляет собой обычный криптомайнер, но позднее выяснилось, что это сложная программа с многофункциональным работоспособным фреймворком.
Множество модулей позволяет злоумышленникам использовать его в рамках APT-атак, а также как криптомайнер или даже программу-вымогатель. Соответственно, существенно расширяется список возможных мотивов злоумышленников — от извлечения финансовой выгоды до шпионажа. Эксперты «Лаборатории Касперского» подчёркнули, что модуль для майнинга — это ключевой фактор, из-за которого вредоносное ПО долгое время не получалось полноценно обнаружить.
Как оказалось, у злоумышленников есть много возможностей для скрытого шпионажа за жертвами. Вредоносное ПО собирает учётные данные каждые два часа: это могут быть логины и пароли для входа на веб-сайт или для подключения к Wi-Fi, либо персональные данные человека, включая имя, адрес, номер телефона, место работы и должность. Помимо этого, зловред может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.
Источник первичного заражения компьютера долго оставался неизвестным. Дальнейшее исследование «Лаборатории Касперского» показало, что злоумышленники используют для этого собственную реализацию эксплойта EternalBlue SMBv1. Уязвимость EternalBlue была обнаружена ещё в 2017 году, после чего компания Microsoft выпустила исправление (MS17-010). Однако угроза всё еще актуальна, поскольку не все пользователи обновляют систему.