近日，StrelaStealer 惡意軟件發(fā)起了大規(guī)模的攻擊行動(dòng)，試圖竊取電子郵件帳戶(hù)憑據(jù)，行動(dòng)波及到了美國(guó)和歐洲的一百多個(gè)組織。

2022 年 11 月，StrelaStealer 被首次披露，它是一種新型信息竊取惡意軟件，可從 Outlook 和 Thunderbird 中竊取電子郵件帳戶(hù)憑據(jù)。該惡意軟件的一個(gè)顯著特點(diǎn)是能夠使用多文件感染方法來(lái)逃避安全軟件的檢測(cè)。當(dāng)時(shí)，StrelaStealer 主要針對(duì)西班牙語(yǔ)用戶(hù)。

但根據(jù) Palo Alto Networks 的 Unit42 最近發(fā)布的一份報(bào)告顯示，StrelaStealer 擴(kuò)大了其攻擊目標(biāo)，現(xiàn)在以美國(guó)和歐洲的組織為目標(biāo)。

StrelaStealer 是通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)傳播的，據(jù)統(tǒng)計(jì)，去年 11 月該組織發(fā)起惡意活動(dòng)的次數(shù)顯著上升，其中有多次攻擊是針對(duì)美國(guó) 250 多個(gè)組織發(fā)起的。

根據(jù)折線(xiàn)圖，可見(jiàn)釣魚(yú)郵件分發(fā)量的趨勢(shì)上升一直持續(xù)到了今年年初，Unit42 分析師在 2024 年 1 月底至 2 月初又記錄到了大規(guī)模的活動(dòng)。

StrelaStealer 最新攻擊數(shù)據(jù)統(tǒng)計(jì)（圖源：Unit42）

在此期間，美國(guó)遭遇的攻擊次數(shù)超過(guò)了 500 次。 Unit42 表示已確認(rèn)美國(guó)和歐洲至少曾發(fā)生了 100 次入侵事件。惡意軟件操作員使用英語(yǔ)和其他歐洲國(guó)家的語(yǔ)言，并根據(jù)需要調(diào)整其攻擊。

用德語(yǔ)書(shū)寫(xiě)的發(fā)票主題電子郵件 (圖源：Unit42)

據(jù)統(tǒng)計(jì)，該惡意軟件的大多數(shù)攻擊目標(biāo)都鎖定了 "高科技 "領(lǐng)域運(yùn)營(yíng)，其次是金融、法律服務(wù)、制造、政府、公用事業(yè)和能源、保險(xiǎn)和建筑等行業(yè)。

攻擊目標(biāo) (圖源：Unit42)

新的感染方式

2022年年底，StrelaStealer 的原始感染機(jī)制開(kāi)始演變，但該惡意軟件仍使用惡意電子郵件作為主要感染載體。以前，電子郵件會(huì)附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多語(yǔ)言調(diào)用 "rundll32.exe "并執(zhí)行惡意軟件有效載荷。

最新的感染鏈則使用了 ZIP 附件將 JScript 文件植入受害者系統(tǒng)。執(zhí)行時(shí)，腳本會(huì)投放一個(gè)批處理文件和一個(gè)解碼為 DLL 的 base64 編碼文件。該 DLL 會(huì)再次通過(guò) rundll32.exe 執(zhí)行，以部署 StrelaStealer 有效載荷。

新舊感染鏈（圖源：Unit42）

此外，該惡意軟件的最新版本在其包裝中采用了控制流混淆技術(shù)，使分析復(fù)雜化，并刪除了 PDB 字符串，以逃避依賴(lài)靜態(tài)簽名的工具的檢測(cè)。

StrelaStealer 的主要功能保持不變：從常用的電子郵件客戶(hù)端竊取電子郵件登錄信息，并將其發(fā)送到攻擊者的指揮和控制（C2）服務(wù)器。

所以如果用戶(hù)收到聲稱(chēng)涉及付款或發(fā)票的未經(jīng)請(qǐng)求的電子郵件時(shí)應(yīng)保持警惕，同時(shí)盡量避免下載來(lái)自未知發(fā)件人的附件。