Kötü amaçlı yazılımları artık oldukça iyi tanıyorsunuz. Ne yazık ki, o kadar yaygınlar ki sizinle düzenli olarak onlar hakkında konuşuyoruz. Ve en azından şunu söyleyebiliriz ki, hackerlar onlara şekil verme konusunda çok yaratıcı. Bu sahte bir Windows güncellemesi ve bu da Microsoft'un tüm işletim sisteminin virüslü bir versiyonu. Bugün bahsettiğimiz kötü amaçlı yazılımın küçük adı olan StripedFly ise daha da sinsi. Bir kripto para madencisinin altına saklandı ve böylece 5 yıl boyunca siber güvenlik çözümlerinden kaçtı.

Ancak, Kaspersky'deki uzmanlar kısa süre önce onu tespit etmeyi başardı. Tahminlerine göre, StripedFly bir milyondan fazla Windows PC ve Linux sisteminde mevcut. Bulaşmanın 2016 veya 2017 civarında, o dönemde bilgisayar korsanları arasında çok popüler olan EternalBlue açığından yararlanılarak gerçekleştiği düşünülüyor. Araştırmacılara göre kötü amaçlı yazılım oldukça etkileyici. Trafiğini maskelemek için TOR ağına dayalı mekanizmalar içeriyor, GitHub gibi meşru platformlar aracılığıyla kendini otomatik olarak güncelliyor ve fark edilmeden diğer makinelere yayılıyor.

Windows'ta, kötü amaçlı yazılım davranışını eriştiği haklara ve özellikle komutları girmek için kullanılan PowerShell'in mevcut olup olmadığına göre uyarlar. PowerShell mevcutsa, programlanmış görevler oluşturmak veya Windows kayıt defterindeki anahtarları değiştirmek için komut dosyaları yürütür. PowerShell olmadan, %APPDATA% klasöründe gizli bir dosya oluşturur. Saldırgan uzaktan StripedFly'a modüller ekleyebilir. Daha sonra virüs bulaşmış bilgisayarda birçok şey yapabilir hale gelir.

Özetle, zararlı yazılım ekran görüntüsü alabilir, kimlik ve parola gibi verileri arayabilir ve toplayabilir, mikrofonu açma ve kaydetme gibi eylemler başlatabilir, kendisini bir "chrome.exe" işlemi olarak gizleyerek Monero kripto para madenciliği yapabilir... Kaspersky ayrıca StripedFly'ın bu kadar uzun süre radarın altında uçmasını sağlayan şeyin bu madencilik modülü olduğunda ısrar ediyor.