Gli esperti di Kaspersky hanno scoperto un malware precedentemente sconosciuto e altamente sofisticato, denominato StripedFly, che ha colpito oltre un milione di vittime in tutto il mondo almeno dal 2017. Inizialmente agendo come un miner di criptovaluta, si è rivelato un malware complesso con un framework wormable multifunzionale.

Nel 2022, il Global Research and Analysis Team di Kaspersky ha riscontrato due rilevamenti inaspettati all’interno del processo WININIT.EXE, innescati da sequenze di codice precedentemente osservate nel malware Equation. L’attività di StripedFly era in corso almeno dal 2017 e aveva eluso efficacemente le analisi precedenti, venendo in precedenza classificata erroneamente come un miner di criptovalute. Dopo aver condotto un esame completo del problema, si è scoperto che il miner di criptovalute era solo un componente di un’entità molto più grande: un framework maligno complesso, multipiattaforma e multiplugin.

Il payload del malware comprende più moduli, consentendo all’attore di operare come APT, come miner di criptovalute e persino come gruppo ransomware. In particolare, la criptovaluta Monero estratta da questo modulo ha raggiunto il suo valore massimo di 542,33 dollari il 9 gennaio 2018, rispetto al valore del 2017 di circa 10 dollari. A partire dal 2023, ha mantenuto un valore di circa 150 dollari. Gli esperti di Kaspersky sottolineano che il modulo di mining è il fattore principale che consente al malware di eludere il rilevamento per un periodo prolungato.