StrelaStealer krade lozinke

AUTOR ·

StrelaStealer zlonamjerni softver za krađu akreditiva, nedavno je ponovo skrenuo pažnju na sebe zbog svojih ciljanih napada na klijente elektronske pošte u Poljskoj, Španiji, Italiji i Njemačkoj. Ovaj zlonamjerni softver je dizajniran da zaobiđe sisteme u Rusiji i dobije početni pristup preko zamagljenih JavaScript datoteka poslatih putem elektronske pošte.

Strelastealer

StrelaStealer krade lozinke; Source: Bing Image Creator

STRELASTEALER

StrelaStealer je vrsta zlonamjernog softvera koji funkcioniše kao kradljivac informacija sa primarnim fokusom na krađu podataka za prijavu putem elektronske pošte od poznatih klijenata elektronske pošte kao što su Microsoft Outlook i Mozilla Thunderbird. Ovaj zlonamjerni softver, takođe poznat kao Trojan.Stealer.Strela, infiltrira se u sisteme na različite načine, najčešće putem neželjene elektronske pošte koja sadrži zlonamjerne priloge ili linkove ka zaraženim internet lokacijama.

Zlonamjerni softver se distribuira u kampanjama koje su se proširile sa ciljanja zemalja španskog govornog područja na Sjedinjene Američke Države i Evropu od prvobitne identifikacije u novembru 2022. godine. Napadači koji stoje iza ovih kampanja favorizuju industrije kao što su visoke tehnologije, finansije, profesionalne usluge, pravne usluge, proizvodnje, vladine agencije, komunalna preduzeća, energetika, osiguranja i građevinski sektor za njihove napade.

Jednom izvršen na kompromitovanom sistemu, StrelaStealer tajno izdvaja ciljane akreditive za prijavu putem elektronske pošte i šalje ih nazad na svoj server za komandu i kontrolu (C2) radi eksploatacije od strane napadača. Potencijalne posljedice ovih napada su ozbiljne, u rasponu od krađe podataka do finansijskih gubitaka i drugih oblika zlonamjernih aktivnosti.

Zlonamjerni softver je dizajniran sa tehnikama izbjegavanja da bi se izbjeglo otkrivanje od strane antivirusnog softvera i bezbjednosnih sistema. Primijećeno je korištenje metode isporuke sa arhiviranim JavaScript datotekama, što može biti teško otkriti zbog formata arhive. Korisni DLL teret koji se koristi je takođe zamagljen, što analizu čini izazovnijom.

 

Nova kampanja

Od kada je identifikovan u novembru 2022. godine, StrelaStealer je stalno nadograđivan novim tehnikama zamagljivanja i metodama antianalize. Primarne mete zlonamjernog softvera su Mozilla Thunderbird program za elektronsku poštu i Microsoft Outlook. Sigurnosni istraživači kompanije Sonicwall su sada primijetili značajno povećanje njegove upotrebe protiv sistema koji se nalaze u Poljskoj, Španiji, Italiji i Njemačkoj. Dok je zanimljivo naglasiti da StrelaStealer ima provjere da izbjegne zarazu ruskih korisnika.

Zlonamjerni softver se širi prvenstveno putem priloga elektronske pošte, često prerušenih u fakture, priznanice ili druge naizgled bezopasne datoteke. Kada se prilog otvori, pokreće se niz događaja koji dovode do instalacije i izvršavanja StrelaStealer zlonamjernog softvera na sistemu žrtve.

Proces infekcije StrelaStealer zlonamjernog softvera počinje sa zamagljenom JavaScript datotekom koja se šalje kao prilog elektronske pošte u arhivskim datotekama. Ovaj početni korisni teret je dizajniran da izbjegne otkrivanje od strane antivirusnog softvera i drugih bezbjednih rješenja. Kada korisnik otvori prilog, ispušta se kopija na određenu lokaciju koristeći nasumična imena. Pokreće se provjera da bi se provjerio jezik operativnog sistema i isključili ruski korisnici od infekcije ovim zlonamjernim softverom.

Nakon potvrde korisnika koji nisu Rusi, koristeći OSLanguage kôd “1049”, base64 kôdirana datoteka se ispušta u isti direktorijum sa nasumičnim imenom i bez ekstenzije. Ovi base64 kôdirani podaci se zatim dekodiraju i ispušta se DLL datoteka sa nekim nasumičnim imenom koja zatim izvršava pomoću regsvr32.exe izvršne datoteke. Primarni cilj StrelaStealer zlonamjernog softvera je da eksfiltrira lozinke iz Thunderbird i Outlook aplikacija za elektronsku poštu i pošalje ih na IP adresu 45.9.74[.]176.

 

Posljedice

Uticaj StrelaStealer zlonamjernog softvera može biti ozbiljan, jer se svi ukradeni podaci prenose na server za komandu i kontrolu (C2), koji djeluje kao konačno skladište za ukradene informacije. Ovi podaci mogu potencijalno dovesti do krađe identiteta, finansijske prevare ili čak dublje infiltracije mreže. Zlonamjerni softver posebno cilja na akreditive elektronske pošte iz Outlook i Thunderbird klijenata, što ga čini atraktivnim izborom za zlonamjerne aktere koji žele da dobiju pristup osjetljivim korporativnim komunikacijama ili ličnoj elektronskoj pošti.

Posljedice uspješnog napada mogu biti dalekosežne, jer kada napadač dobije pristup nalogu elektronske pošte, potencijalno bi mogao da se lažno predstavlja i da šalje zlonamjerne elektronske poruke žrtvinim kontaktima, instalirajući još zlonamjernog softvera na nove sisteme. Napadači takođe mogu da koriste ove informacije za ciljane phishing napade ili čak pokušaju da resetuju lozinke za druge korisničke naloge povezane sa adresom elektronske pošte.

 

ZAKLJUČAK

StrelaStealer zlonamjerni softver predstavlja značajnu prijetnju korisnicima elektronske pošte širom Evrope, posebno onima koji koriste popularne platforme kao što su Mozilla Thunderbird i Microsoft Outlook, dok izbjegava ruske sisteme.

Napad počinje sa zamagljenom JavaScript datotekom prerušenom u bezopasan prilog, koji nakon izvršenja pokreće lančanu reakciju uključujući ispuštanje kopije na sistem žrtve, dekodiranje zlonamjerne datoteke i na kraju postavljanje StrelaStealer DLL datoteke. Ova DLL datoteka je u velikoj mjeri sakriven da bi se izbjeglo otkrivanje i dinamički učitava neophodne komponente za obavljanje svojih zlonamjernih aktivnosti.

StrelaStealer sposobnost da izbjegne otkrivanje i brzo se prilagodi kao odgovor na bezbjednosne mjere čini ga neuhvatljivim protivnikom koji zahteva stalnu budnost i od pojedinaca i od organizacija. Informisanjem o novim prijetnjama i primjenom robusnih bezbjednosnih praksi elektronske pošte, korisnici mogu značajno da smanje rizik da postanu žrtve ove skrivene kampanje i da se zaštite od potencijalnog gubitka podataka ili krađe identiteta.

 

ZAŠTITA

Kako bi se zaštitili korisnici ili organizacije od zlonamjernog softvera StrelaStealer, potrebno je razmisliti o primjeni sljedećih mjera:

  1. Redovno ažuriranje antivirusnog softvera je od suštinskog značaja za zaštitu od poznatih prijetnji kao što je StrelaStealer. Uvjeriti se da je instalirano pouzdano antivirusno rješenje i da je podešeno da automatski prima ažuriranja,
  2. Koristiti jake, jedinstvene lozinke za naloge elektronske pošte, jer to napadačima otežava pristup,
  3. Implementirati sveobuhvatna bezbjednosna rješenja elektronske pošte korištenjem naprednih tehnologija zaštite od prijetnji i tehnologija izolovanog okruženja (eng. sandboxing) kako bi se otkrili i blokirali zlonamjerni prilozi pre nego što mogu da izazovu štetu. Ova rješenja pomažu u zaštiti od napada nultog dana i drugih sofisticiranih prijetnji kao što je StrelaStealer,
  4. Pojedinci i organizacije treba da budu oprezni kada stupaju u interakciju sa prilozima elektronske pošte iz nepoznatih ili sumnjivih izvora. U ovom slučaju, StrelaStealer se često maskira kao bezopasna datoteka, tako da je neophodno provjeriti identitet pošiljaoca pre otvaranja bilo kog priloga,
  5. Potrebno je biti u toku sa aktuelnim prijetnjama i trendovima u vezi sa sajber bezbjednosti tako što će se pratiti renomirane bezbjednosne organizacije. Ovo znanje će pomoći da se donesu bolje informisane odluke kada se korisnici suočavaju sa potencijalnim prijetnjama, kao što je StrelaStealer,
  6. Potrebno je osigurati da svi korisnici u organizaciji bezbjedno koriste svoje klijente elektronske pošte (Outlook i Thunderbird) primjenom najboljih bezbjednosnih praksi. Pored toga, treba da budu svjesni specifične prijetnje koju StrelaStealer predstavlja za ove platforme kao što je pomenuto u tekstu iznad,
  7. Potrebno je redovno obučavati zaposlene o najboljim praksama u vezi sa sajber bezbjednošću, uključujući kako da identifikuju elektronske poruke za krađu identiteta, navike bezbjednog pregledanja i snažno upravljanje lozinkama. Ovo će pomoći da se smanji rizik od uspješnog napada na sistem elektronske pošte organizacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.