بدافزار فریبنده استریپدفلای (StripedFly) قادر است از سیستم اسکرینشات بگیرد و رمزهای عبور و اطلاعات حساس را به سرقت ببرد.
محققان امنیت سایبری کسپراسکای یک بدافزار را کشف کردهاند که چند سال بهصورت مخفیانه در حال فعالیت بوده است. این بدافزار با نام «استریپدفلای» (StripedFly) قادر به گرفتن اسکرینشات و سرقت رمزهای عبور است. بهنظر میرسد آغاز فعالیت این بدافزار به سال 2017 برمیگردد. استریپدفلای پیش از این بهعنوان یک ماینر صرف ارز دیجیتال فعالیت داشت و گمان نمیرفت بدافزار باشد.
طبق گزارش منتشرشده، استریپدفلای فعالیتی بیشتر از استخراج رمزارز انجام میدهد: این بدافزار میتواند دستورات را از راه دور اجرا کند، اسکرینشات بگیرد و شلکدها را به سیستم تزریق کند، رمزهای عبور و سایر دادههای حساس را بدزدد و حتی صداها را با استفاده از میکروفون ضبط کند. استریپدفلای با استفاده از اعتبارنامههایی که قبلاً با کدهای مخرب اترنالبلو به سرقت رفته بودند، در سیستمهای دیگر ویروس ایجاد میکند و سرانجام به استخراج رمزارز مونرو منجر میشود.
ترفند استخراج مونرو بهعنوان یک روش انحرافی درنظر گرفته میشود تا محققان نتوانند کد این بدافزار را بیشتر تجزیهوتحلیل کنند. بهنظر میرسد این ترفند کارساز بوده است، زیرا گفته میشود که در این مدت یک میلیون دستگاه به خطر افتاده است. هنوز البته محققان کسپراسکای از فرایند دقیق کار این بدافزار آگاه نیستند. تنها دادههای واقعی که محققان موفق شدند بهدست آورند آخرین مرحله این بدافزار را نشان میدهد. طبق این دادهها، 220 هزار ویروس ویندوزی از اوایل 2022 تاکنون ثبت شده است. با آنکه دادههای پیش از سال 2018 در دسترس نیست، ولی کسپراسکای تخمین میزند حداقل یک میلیون ویروس در ویندوز و لینوکس وجود داشته باشد.
مشخص نیست که چه کسانی مسئول انتشار استریپدفلای هستند. کسپراسکای احتمال میدهد که این بدافزار نوعی تهدید پایدار پیشرفته (APT) است و عمدتاً چنین مواردی توسط دولتها حمایت میشوند. استریپدفلای شامل چند ماژول است که بهعنوان استخراجکننده رمزارز و باجافزار عمل میکند. این بدافزار ارز دیجیتال مونرو را در اوایل سال 2018 و در زمانی که به اوج ارزش 542.33 دلار رسیده بود، استخراج میکرد. این ارز دیجیتال در سال جاری میلادی، تقریباً 150 دلار ارزش دارد. کارشناسان کسپراسکای تأکید میکنند که این ماژول استخراج عامل اصلی پنهانماندن این بدافزار برای مدت طولانی بوده است.
پاسخ ها