Kampaň StrelaStealer zasáhla řadu evropských organizací

Zpět na blog

Velká kampaň malwaru StrelaStealer zaměřená na krádeže přihlašovacích údajů k e-mailovým účtům zasáhla přes sto organizací v USA a Evropě

Malware StrelaStealer, poprvé zaznamenaný v listopadu 2022, se specializuje na krádež přihlašovacích údajů z e-mailových klientů Outlook a Thunderbird. Používá sofistikované metody, jako je infekce souborů polyglotem (soubor, který je platný ve více formátech), aby se vyhnul detekci antivirovými programy.

Zpočátku cílil hlavně na hispanofonní uživatele, ale nedávné zprávy od Palo Alto Networks’ Unit42 ukazují, že se jeho zaměření rozšířilo i na USA a Evropu.

Malware se šíří přes phishingové kampaně, které výrazně vzrostly od listopadu 2023. Mezi lednem a únorem 2024 byla zaznamenána výrazná vlna aktivit, přičemž některé dny bylo zasaženo více než 500 cílů.

StrelaStealer nyní využívá e-maily psané v angličtině a dalších evropských jazycích a zaměřuje se zejména na organizace v sektorech jako high-tech, finance, právní služby, výroba, vláda, utility a energie, pojišťovnictví a stavebnictví.

Metoda infekce se vyvinula od původního přístupu, který používal soubory .ISO, na novější metodu s využitím ZIP souborů k rozšíření škodlivých JScript souborů. Tyto skripty poté spustí DLL soubor prostřednictvím rundll32.exe, což nakonec nainstaluje payload malware StrelaStealer.

Nové verze malware také používají složitější metody zaměřené na ztížení analýzy a detekce, jako je kontrolní tok obfuskace a odstranění PDB řetězců.

Hlavním účelem StrelaStealeru je ukrást přihlašovací informace k e-mailům a odeslat je na server útočníka.

Uživatelé by měli být opatrní při přijímání neočekávaných e-mailů, zejména těch, které se týkají plateb nebo faktur, a vyhýbat se stahování příloh od neznámých odesílatelů.

Zdroj: Bleepingcomputer

4. 4. 2024