一男子下了个App，27万多元没了…|超极谍战！复杂间谍平台StripedFly引发灾难，超100多万台系统沦陷

一男子下了个App，27万多元没了…

“听说了吗?”

“人家可是炒股的高手，

一年净盈利一百多万元！”

“这么厉害?”

……

你只要

听听荐股“老师”的直播授课

加群就有专业的老师

教你选购股票

在推荐的网络平台投资

包你盈利

内幕消息

一定会涨，赶紧购买

投资越多赚得越多

收益达80%以上

一键提现、马上到账

蜀黍：这究竟是泼天的富贵，还是灾祸…

蜀黍觉着这不是啥正经人

可当局者迷

咱必须用事实说话

济南平阴的李先生帮大家“试水”了

▼▼

2023年5月份，李先生与朋友王女士网上聊天的时候，收到王女士发来的几张股票收益的截图，收益金额很诱惑人。李先生就想在平时下班的时候也投资理财，于是咨询王女士怎么进行股票投资。

随后，王女士便发来了网址

李先生登入网站后下载了某投资股票App

随后注册用户进行投资

李先生一开始小额投资了500元、1000元不等

大约一个星期

就会产生收益还能提现

尝到甜头后

李先生就相信了这个软件

而！且！

这个软件还成立了一个群聊

里面有老师讲课

让他对于这个投资软件更是深信不疑

之后，先后投资69笔

投资金额共计为278880元

过了一段时间

李先生想提现时

发现无法提现

此时群里有人说是诈骗软件

李先生立即报案

引导李先生的王女士也是受害者

得知情况后

也在其当地报警

蜀黍：果然是陷阱…

其实这种网络投资炒股的诈骗

蜀黍们是经常介绍的

鉴于还是有人会上当受骗

套路你得掌握

▼

▼

诈骗手法解析

骗子利用现有的权威性财经平台植入投资诈骗信息，专门针对老股民人群。利用该人群想“一夜暴富”的心理以高额盈利诱惑下载平台。投资平台也“碰瓷”现有证券平台名字和logo，通过“企查查”都可以查询到，导致受害人深信不疑连续大额转账。

紧急提醒

1、不要轻信网络投资理财炒股项目，在看到稳赚不赔的话术时，你不妨多想一下：既然有这么赚钱的项目TA为何要介绍给非亲非故的你。2、不要在各种投资平台留存个人信息，防止个人信息泄露。3、接到荐股电话或者收到相关荐股信息，不相信不操作，不要疯狂迷信所谓“有内幕、拿新股、包赚不赔”的炒股专家。4、谨慎加入各种炒股群、荐股群，更不要轻易相信群里的陌生人。5、炒股投资务必在正规证券平台进行操作，应用市场无法搜索到的投资理财App，一定不要安装。

6、炒股投资除了正规证券账户，其他账号一律不要转账汇款。

再次提醒大家保护好自己的钱袋子

超极谍战！复杂间谍平台StripedFly引发灾难，超100多万台系统沦陷

      一个名为StripedFly的复杂跨平台恶意软件平台在网络安全研究人员的关注下运行了五年，在此期间感染了100多万个Windows和Linux系统。卡巴斯基去年发现了恶意框架的真实性质，从2017年开始发现了其活动的证据，该恶意软件被错误地归类为Monero加密货币矿工。

      分析师们形容StripedFly令人印象深刻，它具有复杂的基于TOR的流量隐藏机制、来自可信平台的自动更新、类似蠕虫的传播能力，以及在漏洞公开之前创建的自定义EternalBlue SMBv1漏洞。

      虽然目前尚不清楚该恶意软件框架是否用于创收或网络间谍活动，但卡巴斯基表示，其复杂性表明这是一种APT（高级持续威胁）恶意软件。

      根据恶意软件的编译器时间戳，已知最早的StripedFly版本具有EternalBlue漏洞，日期为2016年4月，而Shadow Brokers集团的公开泄露发生在2016年8月。

StripedFly在超过一百万个系统中

      StripedFly恶意软件框架是在卡巴斯基发现该平台的外壳代码注入WININIT后首次被发现的。WININIT是一个合法的Windows操作系统进程，处理各种子系统的初始化。

      在调查了注入的代码后，他们确定它从合法的托管服务（如Bitbucket、GitHub和GitLab）下载并执行额外的文件，如PowerShell脚本，包括PowerShell脚本。进一步的调查显示，受感染的设备很可能是通过针对暴露在互联网上的计算机的自定义EternalBlue SMBv1漏洞首次被攻破的。

      最终的StripedFly负载（system.img）具有一个自定义的轻量级TOR网络客户端，以保护其网络通信免受拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。

      恶意软件的指挥控制（C2）服务器位于TOR网络上，与它的通信涉及包含受害者唯一ID的频繁信标消息。

      对于Windows系统上的持久性，StripedFly根据其运行的权限级别和PowerShell的存在来调整其行为。如果没有PowerShell，它将在%APPDATA%目录中生成一个隐藏文件。在PowerShell可用的情况下，它会执行用于创建计划任务或修改Windows注册表项的脚本。

      在Linux上，恶意软件的名称为“sd pam”。它使用systemd服务、autostarting.desktop文件或通过修改各种配置文件和启动文件来实现持久性。在Windows系统上提供最后阶段有效负载的Bitbucket存储库表明，在2023年4月至2023年9月期间，已经有近60000个系统感染。

      据估计，自2022年2月以来，StripedFly已经感染了至少220000个Windows系统，但无法获得该日期之前的统计数据，该存储库创建于2018年。

自 2023 年 4 月以来的有效负载下载计数

     然而，卡巴斯基估计，超过100万台设备被StripedFly框架感染。

恶意软件模块

      该恶意软件作为带有可插入模块的单片二进制可执行程序运行，使其具有与APT操作相关的操作通用性。

以下是卡巴斯基报告中StripedFly模块的摘要：

配置存储：存储加密的恶意软件配置。

升级/卸载：根据C2服务器命令管理更新或删除。

反向代理：允许在受害者的网络上进行远程操作。

杂项命令处理程序：执行各种命令，如屏幕截图捕获和外壳代码执行。

凭据采集器：扫描并收集敏感的用户数据，如密码和用户名。

可重复任务：在特定条件下执行特定任务，例如麦克风录音。

侦察模块：向C2服务器发送详细的系统信息。

SSH感染者：使用获取的SSH凭据穿透其他系统。

SMBv1感染者：使用自定义EternalBlue漏洞侵入其他Windows系统。

Monero挖矿模块：在伪装成“chrome.exe”进程的情况下挖矿Monero。

      Monero加密矿工的存在被认为是一种转移注意力的尝试，威胁参与者的主要目标是通过其他模块促进数据盗窃和系统利用。

      卡巴斯基的报告中写道：“恶意软件负载包括多个模块，使参与者能够作为APT、加密矿工，甚至勒索软件集团执行任务。值得注意的是，该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元，而2017年的价值约为10美元。截至2023年，它的价值约为150美元。”

文章来源 ：济南公安、E安全