STRELASTEALER瞄准了欧盟和美国境内100多家组织

Palo Alto Networks的Unit42发现了一波影响欧盟和美国境内100多家组织的大规模StrelaStealer活动。威胁行为者发送了带有附件的垃圾邮件，最终启动了StrelaStealer恶意软件。

StrelaStealer恶意软件是一种用于窃取电子邮件凭据的恶意软件，DCSO_CyTec首次于2022年11月记录了该恶意软件。最新的StrelaStealer变种是通过一个压缩的JScript传送的，并在DLL负载中采用了更新的混淆技术。

自StrelaStealer被发现以来，威胁行为者已经发起了多次大规模活动。WildFire研究人员报告了一次发生在2023年11月的大规模活动，瞄准了美国和欧盟的组织。Unit 42研究人员观察到另一次在2024年1月29日达到高峰的大规模活动，威胁行为者使用了当地语言的垃圾邮件，主题行的模式为Factura/Rechnung/invoice####。该活动瞄准了包括高科技、金融、法律服务和制造业在内的许多行业的组织。感染链不断更新，当前的StrelaStealer版本通过包含ZIP文件附件的定向钓鱼邮件进行传播。在下载并打开归档文件后，会将一个JScript文件投放到系统上。“然后，JScript文件会释放一个Base64加密文件和一个批处理文件。使用certutil -f decode命令对Base64加密文件进行解码，从而创建一个可移植可执行（PE）DLL文件。”

Palo Alto Networks发布的报告中写道。“根据用户的权限不同，该文件会投放到本地磁盘上的%appdata%temp或c:temp中。然后，DLL文件通过rundll32.exe执行导出函数hello。”

最新的StrelaStealer变种使用了一种打包工具，采用了控制流混淆技术，使分析变得更加困难。作者还删除了PDB字符串，以逃避基于静态签名的检测。“StrelaStealer恶意软件是一种不断演变的主动电子邮件凭据窃取者。随着每一波新的电子邮件活动，威胁行为者都会更新电子邮件附件（启动感染链）和DLL负载本身。攻击者这样做是为了逃避安全供应商的检测。”报告总结道。

原文始发于微信公众号（黑猫安全）：STRELASTEALER瞄准了欧盟和美国境内100多家组织