Gli analisti di SonicWall hanno analizzato una nuova ondata di attacchi informatici attribuiti a StrelaStealer, un malware particolarmente sofisticato che utilizza JavaScript per sottrarre credenziali.

Questo tipo di malware ha riacceso le preoccupazioni sulla sicurezza informatica, in quanto mira principalmente a utenti e organizzazioni europee.

Cos’è StrelaStealer

StrelaStealer è un tipo di malware noto come “credential stealer”, ossia un software maligno progettato per rubare informazioni sensibili come nomi utente, password e altre credenziali di accesso.

La particolarità di StrelaStealer risiede nel suo utilizzo di JavaScript per eseguire le sue operazioni malevole, rendendolo sia efficiente che difficilmente rilevabile dai sistemi di sicurezza tradizionali.

Come StrelaStealer ruba le credenziali

Secondo l’analisi di SonicWall, StrelaStealer si diffonde principalmente attraverso email di phishing. Queste email contengono allegati o link a siti web compromessi che, una volta aperti o cliccati, eseguono script JavaScript nascosti. Questi script iniziano il processo di infezione del sistema, spesso sfruttando vulnerabilità del browser o del sistema operativo.

Una volta installato, StrelaStealer agisce in modo discreto per catturare le credenziali memorizzate nei browser e in altre applicazioni. I dati raccolti vengono quindi inviati a server controllati dai cybercriminali, i quali possono utilizzare queste informazioni per ulteriori attacchi o per vendere le credenziali sul dark web.

Tecniche di evasione

Uno degli aspetti più preoccupanti di StrelaStealer è la sua capacità di evitare il rilevamento. Utilizzando JavaScript, il malware riesce a passare inosservato attraverso molte delle difese tradizionali basate su firme.

Inoltre, StrelaStealer adotta tecniche avanzate di offuscamento del codice, rendendo ancora più difficile per gli analisti di sicurezza individuare e comprendere il comportamento del malware.

AlienVault ha riportato che StrelaStealer utilizza tecniche di evasione avanzate, come il rilevamento dell’ambiente sandbox, per evitare l’analisi da parte dei ricercatori di sicurezza.

Questo comportamento avanzato consente al malware di operare inosservato per periodi più lunghi, aumentando il potenziale danno.

Obiettivi geografici e settoriali di StrelaStealer

La recente ondata di attacchi StrelaStealer ha preso di mira specificamente l’Europa, con un’attenzione particolare verso le aziende del settore finanziario, sanitario e tecnologico.

Questo focus geografico e settoriale suggerisce che i cyber criminali dietro StrelaStealer stanno adottando una strategia mirata per massimizzare il potenziale impatto delle loro attività malevole.

Dettagli sui server di comando e controllo

L’analisi di AlienVault include anche una mappa dettagliata dei server di comando e controllo (C2) utilizzati da StrelaStealer.

Questi server sono situati in varie regioni europee, tra cui Spagna, Germania, Polonia e Italia.

La distribuzione geografica dei server C2 indica un’infrastruttura ben organizzata, progettata per garantire la resilienza e la continuità delle operazioni malevole.

Indicatori di compromissione (IoC) di StrelaStealer

Gli indicatori di compromissione (IoC) rilevati includono diversi indirizzi IP e URL utilizzati da StrelaStealer per comunicare con i suoi server di comando e controllo.

Questi IoC sono cruciali per il rilevamento e la mitigazione del malware, permettendo alle organizzazioni di aggiornare le loro difese e bloccare le connessioni verso questi endpoint malevoli.

Dalla tabella estratta dal report, alcuni degli IoC rilevati includono:

• Indirizzi IP: 45.9.74.176
• URL: http://45.9.74.176/

Questi indicatori sono essenziali per identificare e bloccare le comunicazioni del malware.

Misure di prevenzione

Per proteggersi da StrelaStealer, SonicWall consiglia una serie di misure preventive:

1. Educazione degli Utenti: È fondamentale che gli utenti siano consapevoli dei rischi legati alle email di phishing e sappiano riconoscere i segnali di un possibile attacco.
2. Aggiornamento Regolare del Software: Mantenere aggiornati il sistema operativo e tutte le applicazioni è essenziale per ridurre le vulnerabilità sfruttabili.
3. Utilizzo di Soluzioni di Sicurezza Avanzate: Implementare software di sicurezza che utilizzano tecniche di rilevamento basate sul comportamento può migliorare significativamente la capacità di identificare minacce come StrelaStealer.
4. Controlli di Accesso e Autenticazione Multi-Fattore (MFA): L’adozione di MFA può limitare il danno che un furto di credenziali può causare, rendendo più difficile per i cybercriminali accedere ai sistemi anche se in possesso delle password.

Conclusione

La resurrezione di StrelaStealer rappresenta una seria minaccia per le organizzazioni europee.

La sofisticazione del malware e la sua capacità di eludere le difese tradizionali richiedono un approccio di sicurezza informatica robusto e proattivo.

Gli utenti e le aziende devono rimanere vigili, aggiornati e preparati per affrontare questa e altre minacce emergenti.

L’informazione e la preparazione sono le chiavi per difendersi efficacemente contro i continui sviluppi nel panorama delle minacce informatiche.