Mieux vaut tard que jamais. Les chercheurs de l’éditeur russe Kaspersky viennent d’annoncer avoir découvert un malware très sophistiqué, StripedFly, qui aurait fait plus d’un million de victimes en cinq ans. Le programme avait initialement été classé comme un simple mineur de crypto-monnaie comme il en existe tant.
Il s’agissait pourtant en fait, expliquent les experts de Kaspersky, d’un malware aux capacités bien plus vastes, avec plusieurs modules malveillants allant du minage de Monero à l’espionnage discret des victimes. StripedFly pouvait ainsi dérober des données sensibles telles que des identifiants de connexion, faire des captures d’écran sur l’appareil de la victime sans être détecté ou encore enregistrer avec le micro.
Code élégant
Il pouvait également communiquer avec ses opérateurs via une connexion Tor intégrée. Et il pouvait être mis à jour via des services de confiance tels que GitLab, par exemple. Soit, résument les experts de Kaspersky, des efforts “vraiment remarquables”. Cette approche n’est pas courante chez les cybercriminels, ajoutent-ils, soulignant l’élégance de sa programmation et sa complexité.
Un logiciel décidément bien intriguant: le malware utilise un exploit EternalBlue personnalisé pour infiltrer les systèmes de ses victimes. Or, comme le remarque l’éditeur russe, la première version connue de StripedFly comportant cet exploit date d’avril 2016. Soit un an avant la fuite d’EternalBlue, cet outil de piratage offensif attribué à la NSA, la toute puissance agence technique américaine de renseignement, divulgué par les mystérieux Shadow Brokers.
La patte de la NSA
Si Kaspersky ne fait pas d’attribution, l’éditeur suggère fortement que StripedFly serait bien un autre outil secret de la NSA, en soulignant les similitudes, comme par exemple le style de codage, avec d’autres outils d’Equation, la boîte à outils de la NSA. Cerise sur le gâteau: le programme malveillant a vraisemblement bien généré des revenus en minant du Monero.
Mais il s’agissait d’abord d’une fonctionnalité destinée à donner le change. Les experts de Kaspersky notent à ce sujet que le cours du jeton Monero a bien baissé depuis son pic de janvier 2018. Le véritable objectif du malware reste un mystère, conclut Kaspersky. Tout en avertissant: le programme malveillant a certainement réussi sa mission, celle de rester pendant longtemps en dessous des radars.