Palo Alto Networks的Unit42发现了一波影响欧盟和美国境内100多家组织的大规模StrelaStealer活动。威胁行为者发送了带有附件的垃圾邮件,最终启动了StrelaStealer恶意软件。
StrelaStealer恶意软件是一种用于窃取电子邮件凭据的恶意软件,DCSO_CyTec首次于2022年11月记录了该恶意软件。最新的StrelaStealer变种是通过一个压缩的JScript传送的,并在DLL负载中采用了更新的混淆技术。
自StrelaStealer被发现以来,威胁行为者已经发起了多次大规模活动。WildFire研究人员报告了一次发生在2023年11月的大规模活动,瞄准了美国和欧盟的组织。Unit 42研究人员观察到另一次在2024年1月29日达到高峰的大规模活动,威胁行为者使用了当地语言的垃圾邮件,主题行的模式为Factura/Rechnung/invoice####。该活动瞄准了包括高科技、金融、法律服务和制造业在内的许多行业的组织。感染链不断更新,当前的StrelaStealer版本通过包含ZIP文件附件的定向钓鱼邮件进行传播。在下载并打开归档文件后,会将一个JScript文件投放到系统上。“然后,JScript文件会释放一个Base64加密文件和一个批处理文件。使用certutil -f decode命令对Base64加密文件进行解码,从而创建一个可移植可执行(PE)DLL文件。”
Palo Alto Networks发布的报告中写道。“根据用户的权限不同,该文件会投放到本地磁盘上的%appdata%temp或c:temp中。然后,DLL文件通过rundll32.exe执行导出函数hello。”
最新的StrelaStealer变种使用了一种打包工具,采用了控制流混淆技术,使分析变得更加困难。作者还删除了PDB字符串,以逃避基于静态签名的检测。“StrelaStealer恶意软件是一种不断演变的主动电子邮件凭据窃取者。随着每一波新的电子邮件活动,威胁行为者都会更新电子邮件附件(启动感染链)和DLL负载本身。攻击者这样做是为了逃避安全供应商的检测。”报告总结道。
原文始发于微信公众号(黑猫安全):STRELASTEALER瞄准了欧盟和美国境内100多家组织
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论