摘要
一场新的大规模 StrelaStealer 恶意软件活动已影响美国和欧洲的一百多个组织,试图窃取电子邮件帐户凭据。
StrelaStealer 于 2022 年 11 月首次被记录 为一种新的信息窃取恶意软件,可从 Outlook 和 Thunderbird 窃取电子邮件帐户凭据。
该恶意软件的一个显着特征是使用多语言文件感染方法来逃避安全软件的检测。
当时,StrelaStealer 主要针对西班牙语用户。然而,根据 Palo Alto Networks 的 Unit42最近的一份报告,这种情况已经发生了变化,因为该恶意软件现在针对的是美国和欧洲的用户。
StrelaStealer 通过网络钓鱼活动进行分发,该活动在 2023 年 11 月显着增加,有时针对美国 250 多个组织
网络钓鱼电子邮件分发量的增加一直持续到 2024 年,Unit42 分析师在 2024 年 1 月下旬至 2 月上旬期间记录了大量活动。
StrelaStealer 最新分布量
在此期间的某些日子里,美国的攻击次数超过了 500 次,而 Unit42 表示,它已确认该国以及欧洲至少发生了 100 次攻击。
恶意软件操作者使用英语和其他欧洲语言根据需要调整他们的攻击。
用德语编写的发票主题电子邮件 (Unit42)
大多数目标实体在“高科技”领域,其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。
目标行业 (Unit42)
新的感染方式
StrelaStealer 从 2022 年底开始的原始感染机制已经演变,尽管该恶意软件仍然使用恶意电子邮件作为主要感染媒介。
此前,电子邮件附加了包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件,该文件利用多语言来调用“rundll32.exe”并执行恶意软件负载。
最新的感染链使用 ZIP 附件将 JScript 文件投放到受害者的系统上。执行时,脚本会生成一个批处理文件和一个解码为 DLL 的 Base64 编码文件。该 DLL 再次通过 rundll32.exe 执行以部署 StrelaStealer 有效负载。
新旧感染链
此外,最新版本的恶意软件在其打包中采用控制流混淆,使分析变得复杂,并删除 PDB 字符串以逃避依赖静态签名的工具的检测。
StrelaStealer 的主要功能保持不变:从流行的电子邮件客户端窃取电子邮件登录信息并将其发送到攻击者的命令和控制 (C2) 服务器。
用户在收到声称涉及付款或发票的未经请求的电子邮件时应保持警惕,并避免下载来自未知发件人的附件。