Nedavno otkriveni email malver nazvan StrelaStealer postao je ozbiljna pretnja za organizacije širom sveta. Ovaj maliciozni softver, koji cilja poznate email klijente, izaziva ozbiljne bezbednosne probleme kroz krađu log-in informacija za email naloge. Evo šta treba da znate o ovom novom izazovu.

Šta je StrelaStealer?

StrelaStealer je malware koji krade podatke za prijavljivanje na email naloge i šalje ih nazad na server napadača. Kada je napad uspešno izvršen, napadač dobija pristup informacijama za prijavljivanje na email, koje zatim može koristiti za dalje napade. Od prvog pojavljivanja malvera 2022. godine, napadači iza StrelaStealera lansirali su više velikih email kampanja, i nema znakova da će usporiti.

Da bi izbegli otkrivanje, napadači menjaju početni format fajla priloga u emailu, kao i DLL payload, iz kampanje u kampanju, kako bi sprečili detekciju prethodno generisanih potpisa ili šablona.

Poslednja velika kampanja iz 2023.

Od pojave StrelaStealera, primećeno je da su napadači koji stoje iza ove pretnje pokrenuli više velikih kampanja. Istraživači iz Unit42 primećuju da je poslednja velika kampanja u 2023. godini bila u novembru, i ciljala je organizacije u Sjedinjenim Američkim Državama i Evropskoj uniji.

Nedavna velika kampanja u 2024.

Početkom 2024. godine, napadači iza StrelaStealera pokrenuli su još jednu veliku kampanju, ponovo ciljajući organizacije u istim geografskim regionima. Ove kampanje dolaze u obliku phishing emailova sa prilozima koji na kraju pokreću StrelaStealerov DLL payload.

U izveštaju koji su nedavno objavili, istraživački tim Palo Alto Networksa, navodi da je pogođeno više od 100 kompanija iz SAD i Evrope.

Jezik StrelaStealer email kampanje je lokalizovan, a naslov ima obrazac Factura/Rechnung/faktura####. Slika ispod je primer emaila na nemačkom.

Primer StrelaStealer emaila - izvor Unit42.

Tehnička analiza novoe StrelaStealer varijante

Nova StrelaStealer varijanta se širi putem spear-phishing emailova koji sadrže prilog u ZIP formatu. Kada korisnik preuzme i otvori arhivu, JScript fajl se spušta na sistem.

JScript fajl zatim spušta Base64-enkriptovan fajl i batch fajl. Enkriptovani fajl se dekodira, rezultujući kreiranjem Portable Executable (PE) DLL fajla. U zavisnosti od ovlašćenja koja korisnik ima, fajl se spušta na %appdata%\temp ili c:\temp na lokalnom disku. DLL fajl se zatim izvršava putem exportovane funkcije "hello" koristeći rundll32.exe.

Ilustracija lanca infekcije kod starih i novih varijanti StrelaStealer malwara - izvor Unit42.

Zaključak

StrelaStealer malware je kradljivac email kredencijala koji se stalno razvija. Sa svakim novim talasom email kampanja, napadači ažuriraju kako prilog emaila, koji pokreće lanac infekcije, tako i sam DLL payload. Napadi poput ovih naglašavaju potrebu za pouzdanim bezbednosnim rešenjima koja mogu da prepoznaju i blokiraju ovakve pretnje.