Antivirüs sağlayıcısı Kaspersky, beş yıldan fazla bir süredir bilgisayarları hedef alan, kripto para madenciliği kılığına girmiş karmaşık bir 'StripedFly' kötü amaçlı yazılım parçasını ortaya çıkardı.
Antivirüs sağlayıcısı Kaspersky'ye göre, güçlü bir kötü amaçlı yazılım parçası, beş yıldan fazla bir süredir tespit edilmekten kurtulmasına yardımcı olmak için kendini önemsiz bir kripto para madencisi kılığına sokuyor.
Kaspersky bugün yayınlanan bir raporda , "StripedFly" olarak adlandırılan bu kötü amaçlı yazılımın 2016'dan bu yana dünya çapında 1 milyondan fazla Windows ve Linux bilgisayara bulaştığını söylüyor .
Şirketin güvenlik araştırmacıları, geçen yıl Kaspersky'nin antivirüs ürünlerinin WINNIT.exe'de Windows işletim sisteminin başlatılmasına yardımcı olan iki algılamayı işaretlediğini fark ettiklerinde tehdidi araştırmaya başladılar.
Daha sonra tespitler, başlangıçta kripto para madenci olarak sınıflandırılan StripedFly'a kadar takip edildi. Ancak Kaspersky araştırmacıları daha ayrıntılı bir inceleme yaptığında madencinin ABD Ulusal Güvenlik Ajansı'ndan geldiğine inanılan teknikleri benimseyen çok daha karmaşık bir kötü amaçlı yazılımın yalnızca bir bileşeni olduğunu fark etti.
Özellikle StripedFly, daha sonra sızdırılan ve 2017'de yüz binlerce Windows makinesine bulaşmak için WannaCry fidye yazılımı saldırısında kullanılan, NSA tarafından geliştirilen kötü şöhretli istismar EternalBlue'nun bir sürümünü içeriyordu .
Kaspersky'ye göre StripedFly, yama uygulanmamış Windows sistemlerine sızmak ve Linux makineleri de dahil olmak üzere kurbanın ağına sessizce yayılmak için kendi özel EternalBlue saldırısını kullanıyor. Kötü amaçlı yazılım daha sonra virüslü bilgisayarlardan oturum açma bilgileri ve kişisel veriler gibi hassas verileri toplayabilir.
Şirketin güvenlik araştırmacıları, "Ayrıca, kötü amaçlı yazılım, kurbanın cihazının tespit edilmeden ekran görüntülerini yakalayabilir, makine üzerinde önemli bir kontrol elde edebilir ve hatta mikrofon girişini kaydedebilir" diye ekledi.
StripedFly'ın yaratıcıları, tespit edilmekten kaçınmak için, antivirüs sistemlerinin kötü amaçlı yazılımın tüm yeteneklerini keşfetmesini önlemek amacıyla bir kripto para birimi madenciliği modülü ekleyerek yeni bir yöntem üzerinde karar kıldı. Kaspersky şunları ekledi: "Ana modüldeki kötü amaçlı yazılım işlevi periyodik olarak kukla madenciliği sürecini izliyor ve gerekirse yeniden başlatıyor."
StripedFly'ı kimin geliştirdiği belli değil. Kötü amaçlı yazılım, NSA kaynaklı bir saldırı içermesine rağmen, teşkilatın EternalBlue istismarı Nisan 2017'de " Gölge Komisyoncuları " olarak bilinen gizemli bir grup aracılığıyla kamuoyuna sızdırıldı .
Bir yıl önce, sızıntıdan önce şüpheli Çinli bilgisayar korsanlarının da EternalBlue açığını kullandığı tespit edilmişti. Bu arada Kaspersky, StripedFly'ın ilk tespitinin 9 Nisan 2016'ya dayandığını belirtiyor. Tüm bunlara ek olarak, ThunderCrypt adlı fidye yazılımı saldırısında StripedFly'ın bir sürümü kullanıldı ve bu da kötü amaçlı yazılımın nihai amacını daha az net hale getirdi.
Ancak sonuçta kötü amaçlı yazılımın amacına ulaştığı görülüyor. Her ne kadar Microsoft, Mart 2017'de EternalBlue için bir yama yayınlasa da birçok Windows sistemi bunu yükleyemedi ve StripedFly'ın bu avantajdan yararlanmasına olanak tanıdı.
Kaspersky, "Uzun zaman önce oluşturulan StripedFly, şüphesiz yıllar içinde tespit edilmekten başarıyla kurtularak amacına ulaştı" diye ekledi. "Çok sayıda yüksek profilli ve karmaşık kötü amaçlı yazılım araştırıldı, ancak bu öne çıkıyor ve gerçekten ilgiyi ve tanınmayı hak ediyor."