Komplexe Malware mit multifunktionalen Wurm-Framework

Im Jahr 2022 stieß das Forschungs- und Analyseteam von Kaspersky auf zwei ungewöhnliche Erkennungen im Prozess von WININIT.EXE. Diese wurden durch Code-Sequenzen ausgelöst, die zuvor in der „Equation“-Malware beobachtet worden waren. Diese Aktivitäten sind mindestens seit 2017 im Gange und hatten sich einer früheren Analyse effektiv entzogen. Die Malware wurde bis dato als Kryptowährungs-Miner klassifiziert. Allerdings handelt es sich bei dieser Mining-Komponente nur um einen Bestandteil eines viel größeren plattformübergreifenden Malware-Frameworks mit mehreren Plugins.

Spionage und finanzieller Gewinn

Der Payload der Malware umfasst mehrere Module, die es dem Angreifer ermöglichen als APT, Krypto-Miner als auch Ransomware-Gruppe aufzutreten. Die Angreifer sind sowohl an Spionage als auch finanziellem Gewinn interessiert. Die durch das Modul geschürfte Kryptowährung Monero erreichte am 9. Januar 2018 mit 542,33 US-Dollar ihren Höchstwert. Im Jahr 2017 lag der Kurs noch bei rund 10 US-Dollar. Bis zum Jahr 2023 hat sich der Kurs bei etwa 150 US-Dollar eingependelt. Laut den Kaspersky-Experten ist das Mining-Modul der Hauptfaktor dafür, dass die Malware über einen längeren Zeitraum unentdeckt blieb. Der Angreifer, der hinter dieser Operation steckt, hat sich umfangreiche Fähigkeiten angeeignet, um seine Opfer auszuspionieren.

Weitere Untersuchungen von Kaspersky zeigen, dass die Malware ein speziell angefertigtes EternalBlue „SMBv1“-Exploit nutzte, um die Systeme der Opfer zu infiltrieren. Trotz des Bekanntwerdens der EternalBlue-Schwachstelle im Jahr 2017 und der anschließenden Veröffentlichung eines Patches durch Microsoft (MS17-010) [2] ist die Bedrohung durch diese Schwachstelle nach wie vor erheblich, da viele Nutzer ihre Systeme nicht aktualisiert haben.

Ähnlichkeit mit Equation-Malware

Bei der technischen Analyse stellten die Experten von Kaspersky Ähnlichkeiten mit der Equation-Malware fest. Dazu gehören technische Indikatoren wie Signaturen, die mit der Equation-Malware in Verbindung gebracht werden sowie ein Kodierungsstil und -verfahren, die denen der StraitBizzare (SBZ)-Malware ähneln. Basierend auf den Download-Zählern des Repositories, in dem die Malware gehostet wird, wird die Zahl der Opfer von StripedFly auf über eine Million weltweit geschätzt.

„Der Aufwand, der in die Entwicklung dieses Frameworks investiert wurde, ist bemerkenswert und seine Entdeckung ziemlich überraschend. Die Fähigkeit der Cyberkriminellen, sich anzupassen und weiterzuentwickeln, stellt eine ständige Herausforderung dar“, sagt Sergey Lozhkin von Kaspersky.

Roger Homrich

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago