Un mineur de cryptomonnaie cachait un logiciel-espion

La société de cybersécurité Kaspersky a publié, le 25 octobre 2023, une analyse détaillée de StripedFly, un logiciel espion très sophistiqué. Apparu en 2016, il se présente comme un mineur de la cryptomonnaie Monero. Cette fonctionnalité, bien réelle, a détourné pendant des années l’attention des chercheurs cyber de ses autres capacités de nuisance.

En effet, une fois qu’il a infecté un appareil, StripedFly peut prendre des captures d’écran, récolter des identifiants et des mots de passe ou utiliser le micro pour espionner les conversations. En un an, le spyware aurait infecté plus d’un million d’appareils sous Windows ou Linux.

Kaspersky souligne la complexité du logiciel. StripedFly dispose ainsi d’un module de communication intégré lui permettant de dialoguer avec ses opérateurs via Tor. Il peut également se mettre à jour automatiquement sur des services légitimes comme GitLab. Il sait aussi masquer son activité dans les méandres de Tor et se propager discrètement vers une autre machine connectée au même réseau.

StripedFly utilise un exploit EternalBlue datant de 2016, soit un an avant la fuite de cet outil de piratage développé par la NSA, l’agence nationale de la sécurité américaine. Les chercheurs ont également identifié des similitudes entre le code du spyware et celui d’autres logiciels de la NSA. Kaspersky n’affirme pas formellement que StripedFly est un logiciel espion haut de gamme développé par la NSA mais cette piste semble aujourd’hui la plus convaincante.