O nouă campanie de malware StrelaStealer la scară largă a afectat peste o sută de organizații din Statele Unite și Europa, încercând să fure credențialele de cont de email.
StrelaStealer a fost documentat prima dată în noiembrie 2022 ca un nou malware de furt de informații care fură credențialele de cont de email din Outlook și Thunderbird.
O caracteristică remarcabilă a malware-ului a fost utilizarea unei metode de infectare a fișierelor poliglot pentru a evita detectarea de către software-ul de securitate.
În acel moment, StrelaStealer viza în principal utilizatorii vorbitori de limbă spaniolă. Cu toate acestea, potrivit unui raport recent realizat de Palo Alto Networks’ Unit42, acest lucru s-a schimbat deoarece malware-ul vizează acum persoane din SUA și Europa.
StrelaStealer este distribuit prin campanii de phishing care au înregistrat o creștere semnificativă în noiembrie 2023, unele zile vizând peste 250 de organizații din SUA.
Volumul crescut al distribuției de emailuri de phishing a continuat și în 2024, cu o undă semnificativă de activitate înregistrată de analiștii Unit42 între sfârșitul lunii ianuarie și începutul lui februarie 2024.
În unele zile din acea perioadă, atacurile din SUA au depășit 500, în timp ce Unit42 spune că a confirmat cel puțin 100 de compromiteri în țară, precum și în Europa.
Operatorii malware-ului au folosit limba engleză și alte limbi europene pentru a-și ajusta atacurile după cum este necesar.
Cele mai multe entități vizate activează în domeniul ‘high tech’, urmate de sectoare precum finanțe, servicii legale, producție, guvern, utilități și energie, asigurări și construcții.
Mecanismele originale de infectare ale StrelaStealer din 2022 s-au evoluat, deși malware-ul folosește încă emailuri malițioase ca vector principal de infecție.
Anterior, emailurile atașau fișiere .ISO care conțineau un scurtătură .lnk și un fișier HTML, care folosea poliglotismul pentru a invoca ‘rundll32.exe’ și a executa sarcina malware-ului.
Cea mai recentă verigă de infectare folosește atașamente ZIP pentru a descărca fișiere JScript pe sistemul victimei. Când sunt executate, scripturile descarcă un fișier batch și un fișier codificat în base64 care decodează într-un DLL. Acel DLL este executat din nou prin rundll32.exe pentru a implementa sarcina malware-ului StrelaStealer.
În plus, cea mai recentă versiune a malware-ului folosește o obfuscare a fluxului de control în împachetarea sa pentru a complica analiza și elimină șirurile PDB pentru a evita detectarea de către instrumentele care se bazează pe semnături statice.
Funcția principală a StrelaStealer rămâne aceeași: să fure informații de autentificare de email de la clienții de email populare și să le trimită la serverul de comandă și control (C2) al atacatorilor.
Utilizatorii ar trebui să fie vigilenți atunci când primesc emailuri nesolicitate care pretind să implice plăți sau facturi și să se abțină de la descărcarea atașamentelor de la expeditori necunoscuți.
Leave a Reply