Komplexe Malware mit multifunktionalen Wurm-Framework

Im Jahr 2022 stieß das Forschungs- und Analyseteam von Kaspersky auf zwei ungewöhnliche Erkennungen im Prozess von WININIT.EXE. Diese wurden durch Code-Sequenzen ausgelöst, die zuvor in der „Equation“-Malware beobachtet worden waren. Diese Aktivitäten sind mindestens seit 2017 im Gange und hatten sich einer früheren Analyse effektiv entzogen. Die Malware wurde bis dato als Kryptowährungs-Miner klassifiziert. Allerdings handelt es sich bei dieser Mining-Komponente nur um einen Bestandteil eines viel größeren plattformübergreifenden Malware-Frameworks mit mehreren Plugins.

Spionage und finanzieller Gewinn

Der Payload der Malware umfasst mehrere Module, die es dem Angreifer ermöglichen als APT, Krypto-Miner als auch Ransomware-Gruppe aufzutreten. Die Angreifer sind sowohl an Spionage als auch finanziellem Gewinn interessiert. Die durch das Modul geschürfte Kryptowährung Monero erreichte am 9. Januar 2018 mit 542,33 US-Dollar ihren Höchstwert. Im Jahr 2017 lag der Kurs noch bei rund 10 US-Dollar. Bis zum Jahr 2023 hat sich der Kurs bei etwa 150 US-Dollar eingependelt. Laut den Kaspersky-Experten ist das Mining-Modul der Hauptfaktor dafür, dass die Malware über einen längeren Zeitraum unentdeckt blieb. Der Angreifer, der hinter dieser Operation steckt, hat sich umfangreiche Fähigkeiten angeeignet, um seine Opfer auszuspionieren.

Weitere Untersuchungen von Kaspersky zeigen, dass die Malware ein speziell angefertigtes EternalBlue „SMBv1“-Exploit nutzte, um die Systeme der Opfer zu infiltrieren. Trotz des Bekanntwerdens der EternalBlue-Schwachstelle im Jahr 2017 und der anschließenden Veröffentlichung eines Patches durch Microsoft (MS17-010) [2] ist die Bedrohung durch diese Schwachstelle nach wie vor erheblich, da viele Nutzer ihre Systeme nicht aktualisiert haben.

Ähnlichkeit mit Equation-Malware

Bei der technischen Analyse stellten die Experten von Kaspersky Ähnlichkeiten mit der Equation-Malware fest. Dazu gehören technische Indikatoren wie Signaturen, die mit der Equation-Malware in Verbindung gebracht werden sowie ein Kodierungsstil und -verfahren, die denen der StraitBizzare (SBZ)-Malware ähneln. Basierend auf den Download-Zählern des Repositories, in dem die Malware gehostet wird, wird die Zahl der Opfer von StripedFly auf über eine Million weltweit geschätzt.

„Der Aufwand, der in die Entwicklung dieses Frameworks investiert wurde, ist bemerkenswert und seine Entdeckung ziemlich überraschend. Die Fähigkeit der Cyberkriminellen, sich anzupassen und weiterzuentwickeln, stellt eine ständige Herausforderung dar“, sagt Sergey Lozhkin von Kaspersky.

Roger Homrich

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

3 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

3 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

5 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

6 Stunden ago