StrelaStealer napadi pogodili preko 100 organizacija

Sigurnosni istraživači Unit 42 iz kompanije Palo Alto Networks su identifikovali novu seriju phishing napada koji su širili zlonamjerni softver StrelaStealer. Ova prijetnja je uticala na preko 100  organizacija širom Evropske unije i Sjedinjenih Američkih Država.

StrelaStealer napadi pogodili preko 100 organizacija; Source: Bing Image Creator

STRELASTEALER

StrelaStealer je zlonamjerni softver za krađu akreditiva elektronske pošte, a prvi put je dokumentovan od strane njemačke kompanije za sajber bezbjednost DCSO CyTec u blogu objavljenom 8. novembra 2022. godine.

Od svog prvog pojavljivanja, ovaj zlonamjerni softver je učestovao u više velikih kampanja phishing napada preko elektronske pošte, obično širom Evropske unije i Sjedinjenih Američkih Država. Osnovni cilj StrelaStealer zlonamjernog softvera se vremenom nije promijenio, a DLL datoteka korisnog opterećenja se i dalje može identifikovati.

Ipak, primijećeno je ažuriranje zlonamjernog softvera kako bi se pokušali izbjegavanje detekcije. Nova varijanta zlonamjernog softvera sada isporučuje korištenjem JavaScript u ZIP datoteci i koristi ažuriranu tehniku zamagljivanja u DLL korisnom učitavanju.

KAMPANJA

U januaru 2024. godine, zlonamjerni akteri pokreću novu kampanju isporuke StrelaStealer zlonamjernog softvera koja je ponovo usmjerena na organizacije u istim geografskim regionima – Evropska unija i Sjedinjene Američke Države, koja dostiže svoj vrhunac 29. januara 2024. godine. Zlonamjerni akteri koriste lokalizovan jezik za elektronsku poštu tokom ove kampanje, a ciljaju na organizacije na organizacije u mnogim industrijama, a najčešća meta su bile poslovne organizacije  u industriji visoke tehnologije.

Funkcionisanje

Analiza pokazuje da je glavna namjena StrelaStealer zlonamjernog softvera krađa podatka za prijavu putem elektronske pošte od poznatih klijenata elektronske pošte i njihovo slanje nazad na C2 server definisan u konfiguraciji zlonamjernog softvera.

Nova verzija StrelaStealer zlonamjernog softvera se širi putem spear phishing poruka elektronske pošte koje sadrže prilog ZIP datoteke. Kada korisnik preuzme i otvori arhivu, JavaScript datoteka se ispušta na sistem. JavaScript datoteka zatim ispušta jednu šifrovanu i skript datoteku, gdje dolazi do dekodiranja šifrovane datoteke, što rezultira kreiranjem DLL datoteke Portable Executable (PE). U zavisnosti od korisničkih privilegija datoteka se smiješta na jednu od dvije lokacije na lokalnom disku, a zatim se izvršava izvršava preko izvezene funkcije hello pomoću rundll32.exe izvršne datoteke.

Alatka za pakovanje zlonamjernog softvera koristi tehniku zamagljivanja kontrolnog toka da bi otežao analizu. To podrazumijeva zamagljivanja toka kontrole pretjerano dugih blokova kôda koji se sastoje od brojnih aritmetičkih instrukcija. Ovo služi kao tehnika anti-analize, koja potencijalno dovodi do vremenskih ograničenja tokom izvršavanja uzoraka u izolovanom okruženju (eng. sandbox). Zlonamjerni akter je napravio nekoliko značajnih izmjena kako bi izbjegao otkrivanje, pa je izbacio određene nizove koji su bili prisutni u ranijim verzijama zlonamjernog softvera. To ima za posljedicu da je zlonamjerni softver manje očigledan kao StrelaStealer binarna izvršna datoteka i  to bi moglo učini neke statičke potpise beskorisnim ako se oslanjaju na postojanje uklonjenih nizova.

“Ove kampanje dolaze u obliku neželjene elektronske pošte sa prilozima koji na kraju pokreću DLL StrelaStealer korisni teret. U pokušaju da izbjegnu otkrivanje, napadači mijenjaju početni format datoteke priloga elektronske pošte iz jedne kampanje u drugu, kako bi spriječili otkrivanje iz prethodno generisanog potpisa ili obrazaca.”

 – Unit 42, Palo Alto Networks  –

ZAKLJUČAK

StrelaStealer zlonamjerni softver je aktivni alat za krađu akreditiva elektronske pošte koji je u konstantnom razvoju. Svako novom zlonamjernom kampanjom elektronske pošte, zlonamjerni akteri ažuriraju prilog elektronske pošte koji pokreće lanac infekcije i sam DLL korisni teret, kako bi izbjegli da budu otkriveni od strane sigurnosnog softvera. Pored toga, lokalizovane kampanje elektronske pošte dodatno povećavaju opasnost, pošto će ona manje izgledati sumnjivo korisnicima i oni će biti više skloni pokretanju lanca infekcije.

ZAŠTITA

Ova zlonamjerna kampanja služi kao podsjetnik na neophodnost stalnog podizanja svesti i usvajanja odgovarajućih bezbjednosnih mjera za zaštitu povjerljivih podataka i kritičnih sistema od savremenih prijetnji kao što je StrelaStealer i njemu slični. Kako bi se zaštitili korisnici i poslovne organizacije mogu primijeniti sljedeće preporuke:

• Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
• Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
• Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
• Korištenje sveobuhvatnih bezbjednosnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
• Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
• Edukacija korisnika o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke korisnika mogu pomoći u identifikaciji i prijavi sajber napada.