Les chercheurs de l’entreprise de cybersécurité Kaspersky ont récemment mis au jour un malware sournois qui a réussi à passer inaperçu pendant cinq longues années. Se faisant passer pour un mineur de cryptomonnaies, ce programme malveillant, nommé StripeFly, a réussi à infecter plus d’un million de PC fonctionnant sous les systèmes d’exploitation Windows et Linux.
L’univers des malwares est malheureusement devenu familier pour bon nombre d’entre nous, tant ces menaces sont devenues monnaie courante. Les cybercriminels rivalisent d’ingéniosité pour leur donner forme, que ce soit en se dissimulant derrière de fausses mises à jour Windows ou en infectant tout un système d’exploitation Microsoft. StripeFly, le nom de code de ce programme malveillant, se distingue par sa subtilité. Il a réussi à se camoufler en tant que mineur de cryptomonnaies, ce qui lui a permis d’éviter la détection des solutions de cybersécurité pendant une période impressionnante de cinq ans.
C’est grâce à l’expertise des chercheurs de Kaspersky que rayéFly a été révélé récemment. Selon leurs estimations, ce malware a réussi à infiltrer plus d’un million d’ordinateurs tournant sous Windows et des systèmes Linux. L’infection aurait eu lieu aux alentours de 2016 ou 2017, exploitant à l’époque la faille très prisée par les hackers, nommé EternalBlue. Les chercheurs sont impressionnés par les mécanismes gérés de StripeFly. Il utilise le réseau TOR pour dissimuler son trafic, se met à jour automatiquement via des plateformes légitimes telles que GitHub, et se propage à d’autres machines sans attirer l’attention.
StripeFly a réussi à se fondre dans l’environnement Windows en adaptant son comportement en fonction des droits auxquels il avait accès, ainsi que de la présence de PowerShell, un outil couramment utilisé pour entrer des commandes. En présence de PowerShell, StripeFly exécute des scripts visant à créer des tâches programmées ou à modifier les clés du registre de Windows. En l’absence de PowerShell, il crée discrètement un fichier caché dans le dossier %APPDATA%. À distance, le pirate peut ajouter des modules à StripeFly, lui conférant ainsi des capacités étendues sur l’ordinateur infecté.
Parmi les méfaits de ce malware, on retrouve la capacité de prendre des captures d’écran, de rechercher et d’exfiltrer des données sensibles telles que des identifiants et des mots de passe, de réaliser des actions telles que l’ouverture du microphone et l’enregistrement de l’audio, ainsi que de miner la cryptomonnaie Monero en se dissimulant sous le nom de processus “chrome.exe”. Kaspersky souligne particulièrement que c’est le module de minage qui permet à StripeFly de rester hors des radars pendant une si longue période.
Ce cas souligne une fois de plus l’importance de la vigilance en matière de cybersécurité, ainsi que la nécessité de maintenir ses systèmes à jour pour se prémunir contre les menaces informatiques sournoises.
Publications similaires :
- Les hackers Chinois et Russes exploitant une faille zero day de WinRAR
- 5 Astuces informatiques pour améliorer la Sécurité de votre site web WordPress
- Réseaux sociaux : Cybersécurité – comment détecter les signes d’activité suspecte
- Ransomware et attaques DDoS : Reconnaître les signes d’activité suspecte