Theo Kaspersky, phần mềm độc hại này đã lây nhiễm hơn 1 triệu máy tính dùng hệ điều hành Windows và Linux trên toàn cầu kể từ năm 2016. Các nhà nghiên cứu đã bắt đầu điều tra malware này vào năm ngoái khi nhận thấy phần mềm của mình gắn cờ phát hiện trong WINNIT.exe, một chương trình giúp hệ điều hành Windows khởi động.
Các phát hiện sau đó chỉ ra StripedFly, ban đầu được phân loại là công cụ khai thác tiền điện tử. Nhưng kiểm tra kỹ hơn, Kaspersky nhận thấy công cụ khai thác này chỉ là một thành phần của phần mềm độc hại phức tạp hơn, sử dụng các kỹ thuật được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA). StripedFly đã kết hợp EternalBlue, công cụ khai thác khét tiếng do NSA phát triển, sau đó đã bị rò rỉ và sử dụng trong cuộc tấn công ransomware WannaCry để lây nhiễm hàng trăm nghìn máy Windows vào năm 2017.
StripedFly sử dụng cuộc tấn công EternalBlue để xâm nhập vào các hệ thống Windows chưa được vá lỗi và âm thầm lây lan trên mạng máy tính bao gồm cả hệ thống chạy Linux. Phần mềm độc hại này có thể thu thập dữ liệu nhạy cảm từ các máy tính bị nhiễm, chẳng hạn như thông tin đăng nhập và dữ liệu cá nhân.
StripedFly được ngụy trang là phần mềm đào tiền mã hóa nên không bị phát hiện
CHỤP MÀN HÌNH
Hơn nữa, malware này còn có thể chụp ảnh màn hình trên thiết bị mà không bị phát hiện, giành quyền kiểm soát đáng kể đối với máy và thậm chí ghi lại âm thanh từ micro.
Để tránh bị phát hiện, các tác giả StripedFly đã thêm module khai thác tiền điện tử để ngăn hệ thống chống virus phát hiện. Kaspersky cho biết theo định kỳ, phần mềm độc hại sẽ giám sát quá trình khai thác và khởi động lại nếu cần thiết. Nó cũng gửi rất nhiều thông tin báo cáo như thời gian làm việc, số lần không được phát hiện và thống kê lỗi cho máy chủ điều khiển.
Vẫn chưa rõ ai đã phát triển StripedFly, dù malware này chứa module tấn công bắt nguồn từ NSA, nhưng cách khai thác EternalBlue của cơ quan này đã bị rò rỉ vào tháng 4.2017 thông qua nhóm Shadow Brokers.
Mặc dù Microsoft đã phát hành bản vá cho EternalBlue vào tháng 3.2017 nhưng nhiều hệ thống Windows đã không cài đặt được, tạo điều kiện cho StripedFly tận dụng lợi thế lây nhiễm suốt nhiều năm qua.
Bình luận (0)