近日，StrelaStealer 惡意軟件發(fā)起了大規(guī)模的攻擊行動，試圖竊取電子郵件帳戶憑據(jù)，行動波及到了美國和歐洲的一百多個組織。

2022 年 11 月，StrelaStealer 被首次披露，它是一種新型信息竊取惡意軟件，可從 Outlook 和 Thunderbird 中竊取電子郵件帳戶憑據(jù)。該惡意軟件的一個顯著特點是能夠使用多文件感染方法來逃避安全軟件的檢測。當(dāng)時，StrelaStealer 主要針對西班牙語用戶。

但根據(jù) Palo Alto Networks 的 Unit42 最近發(fā)布的一份報告顯示，StrelaStealer 擴(kuò)大了其攻擊目標(biāo)，現(xiàn)在以美國和歐洲的組織為目標(biāo)。

StrelaStealer 是通過網(wǎng)絡(luò)釣魚活動傳播的，據(jù)統(tǒng)計，去年 11 月該組織發(fā)起惡意活動的次數(shù)顯著上升，其中有多次攻擊是針對美國 250 多個組織發(fā)起的。

根據(jù)折線圖，可見釣魚郵件分發(fā)量的趨勢上升一直持續(xù)到了今年年初，Unit42 分析師在 2024 年 1 月底至 2 月初又記錄到了大規(guī)模的活動。

StrelaStealer 最新攻擊數(shù)據(jù)統(tǒng)計（圖源：Unit42）

在此期間，美國遭遇的攻擊次數(shù)超過了 500 次。 Unit42 表示已確認(rèn)美國和歐洲至少曾發(fā)生了 100 次入侵事件。惡意軟件操作員使用英語和其他歐洲國家的語言，并根據(jù)需要調(diào)整其攻擊。

用德語書寫的發(fā)票主題電子郵件 (圖源：Unit42)

據(jù)統(tǒng)計，該惡意軟件的大多數(shù)攻擊目標(biāo)都鎖定了 "高科技 "領(lǐng)域運營，其次是金融、法律服務(wù)、制造、政府、公用事業(yè)和能源、保險和建筑等行業(yè)。

攻擊目標(biāo) (圖源：Unit42)

新的感染方式

2022年年底，StrelaStealer 的原始感染機(jī)制開始演變，但該惡意軟件仍使用惡意電子郵件作為主要感染載體。以前，電子郵件會附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多語言調(diào)用 "rundll32.exe "并執(zhí)行惡意軟件有效載荷。

最新的感染鏈則使用了 ZIP 附件將 JScript 文件植入受害者系統(tǒng)。執(zhí)行時，腳本會投放一個批處理文件和一個解碼為 DLL 的 base64 編碼文件。該 DLL 會再次通過 rundll32.exe 執(zhí)行，以部署 StrelaStealer 有效載荷。

新舊感染鏈（圖源：Unit42）

此外，該惡意軟件的最新版本在其包裝中采用了控制流混淆技術(shù)，使分析復(fù)雜化，并刪除了 PDB 字符串，以逃避依賴靜態(tài)簽名的工具的檢測。

StrelaStealer 的主要功能保持不變：從常用的電子郵件客戶端竊取電子郵件登錄信息，并將其發(fā)送到攻擊者的指揮和控制（C2）服務(wù)器。

所以如果用戶收到聲稱涉及付款或發(fā)票的未經(jīng)請求的電子郵件時應(yīng)保持警惕，同時盡量避免下載來自未知發(fā)件人的附件。