Uma campanha em grande escala do malware StrelaStealer afetou mais de cem organizações nos Estados Unidos e na Europa, ao tentar roubar credenciais de contas de e-mail.
O StrelaStealer foi documentado pela primeira vez em novembro de 2022 como um novo malware de furto de informações que rouba credenciais de contas de e-mail do Outlook e do Thunderbird.
Uma característica peculiar do malware é que ele utiliza um método de infecção de arquivo poliglota para escapar da detecção de softwares de segurança.
Naquela época, o StrelaStealer estava direcionado predominantemente para usuários de língua espanhola.
No entanto, de acordo com um relatório recente da Unit 42 da Palo Alto Networks, isso mudou, já que o malware agora está visando pessoas dos Estados Unidos e da Europa.
O StrelaStealer é distribuído através de campanhas de phishing que mostraram um aumento expressivo em novembro de 2023, alguns dias visando mais de 250 organizações nos Estados Unidos.
Os altos volumes de distribuição de e-mails de phishing persistiram em 2024, com uma onda expressiva de atividade sendo registrada pelos analistas da Unit 42 entre o final de janeiro e o início de fevereiro do mesmo ano.
Em alguns dias desse período, os ataques nos Estados Unidos superaram os 500, enquanto a Unit 42 afirma ter confirmado pelo menos 100 comprometimentos tanto nos Estados Unidos quanto na Europa.
Os operadores de malware utilizaram o inglês e outras línguas europeias para adaptar seus ataques conforme necessário.
A cadeia de infecção mais recente do StrelaStealer utiliza anexos ZIP para instalar arquivos JScript no sistema da vítima.
Quando executados, os scripts descartam um arquivo em lote e um arquivo codificado em base64 que é decodificado numa DLL.
A referida DLL é executada via rundll32.exe novamente para implantar o payload do StrelaStealer.
Além disso, a versão mais recente do malware faz uso de ofuscação de fluxo de controle na sua embalagem para complicar a análise e remove strings PDB para escapar da detecção de ferramentas que dependem de assinaturas estáticas.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...