Uma campanha em grande escala do malware StrelaStealer afetou mais de cem organizações nos Estados Unidos e na Europa, ao tentar roubar credenciais de contas de e-mail.
O StrelaStealer foi documentado pela primeira vez em novembro de 2022 como um novo malware de furto de informações que rouba credenciais de contas de e-mail do Outlook e do Thunderbird.
Uma característica peculiar do malware é que ele utiliza um método de infecção de arquivo poliglota para escapar da detecção de softwares de segurança.
Naquela época, o StrelaStealer estava direcionado predominantemente para usuários de língua espanhola.
No entanto, de acordo com um relatório recente da Unit 42 da Palo Alto Networks, isso mudou, já que o malware agora está visando pessoas dos Estados Unidos e da Europa.
O StrelaStealer é distribuído através de campanhas de phishing que mostraram um aumento expressivo em novembro de 2023, alguns dias visando mais de 250 organizações nos Estados Unidos.
Os altos volumes de distribuição de e-mails de phishing persistiram em 2024, com uma onda expressiva de atividade sendo registrada pelos analistas da Unit 42 entre o final de janeiro e o início de fevereiro do mesmo ano.
Em alguns dias desse período, os ataques nos Estados Unidos superaram os 500, enquanto a Unit 42 afirma ter confirmado pelo menos 100 comprometimentos tanto nos Estados Unidos quanto na Europa.
Os operadores de malware utilizaram o inglês e outras línguas europeias para adaptar seus ataques conforme necessário.
A cadeia de infecção mais recente do StrelaStealer utiliza anexos ZIP para instalar arquivos JScript no sistema da vítima.
Quando executados, os scripts descartam um arquivo em lote e um arquivo codificado em base64 que é decodificado numa DLL.
A referida DLL é executada via rundll32.exe novamente para implantar o payload do StrelaStealer.
Além disso, a versão mais recente do malware faz uso de ofuscação de fluxo de controle na sua embalagem para complicar a análise e remove strings PDB para escapar da detecção de ferramentas que dependem de assinaturas estáticas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...