StripeFly, un malware minero activo desde 2017

Kaspersky detectó en 2022 algo inesperado en el componente de software de Microsoft Wininit.exe: ciertas secuencias de código que se había utilizado previamente en el malware Equation. Se trataba de StripeFly, que había sido clasificado erróneamente como un minero de criptomonedas, pero ha resultado ser “una amenaza mucho más compleja, multiplataforma y modular”.

El malware ha tenido diferentes objetivos, desde el económico hasta el espionaje. Sus diferentes módulos lo convierten en una amenaza persistente avanzada (APT), pudiendo entre otras cosas actuar como ransomware o como criptominero. De hecho, según la compañía es precisamente el módulo de minería el que le ha permitido evitar ser detectado durante periodos de tiempo muy prolongados.

StripeFly fue descargado más de un millón de veces en todo el mundo, según el propio contador del repositorio en el que estaba alojado. El malware recopila credenciales e información de la víctima cada dos horas, desde las claves del WiFi hasta datos personales como nombre, dirección, teléfono o empresa. Incluso puede hacer capturas de pantalla, activar el micrófono o hacerse con el control del dispositivo.

Sergey Lozhkin, investigador principal de seguridad del equipo de Análisis e Investigación Global (GReAT) de Kaspersky, señala que “la cantidad de horas invertidas en la creación de esta amenaza es sorprendente. La capacidad de los ciberdelincuentes para adaptarse y evolucionar es un desafío constante. Por ello, usuarios y empresas no deben olvidar protegerse. Nosotros, por nuestra parte, seguiremos esforzándonos en descubrir y difundir amenazas”.