Strela Stealer cilja Evropu

Strela Stealer je sofisticirani zlonamjerni softver za krađu informacija koji aktivno djeluje u digitalnom prostoru od kraja 2022. godine. U početku je prvenstveno ciljao korisnike koji govore španski putem kampanja za neželjenu elektronsku poštu koje sadrže zlonamjerne ISO priloge. Međutim, njegova taktika je evoluirala tokom vremena, kao što su nedavno primijetili iz kompanije Cyble Research and Intelligence Labs, koji su identifikovali prikrivenu phishing kampanju usmjerenu na Njemačku i Španiju.

Strela Stealer

Strela Stealer cilja Evropu; Source: Bing Image Creator

STRELA STEALER

Strela Stealer je posebno dizajniran da izvuče osjetljive akreditive naloga elektronske pošte iz popularnih klijenata elektronske pošte kao što su Microsoft Outlook i Mozilla Thunderbird. Zlonamjerni akteri koji stoje iza Strela Stealer zlonamjernog softvera pokazali su izuzetnu sposobnost da prilagode svoju taktiku, u početku koristeći neželjenu poštu koja sadrži zlonamjerne ISO priloge koji uključuju .lnk datoteke i poliglot datoteke.

 

Nova kampanja

Najnovija kampanja koristi prikriveni JavaScript i WebDAV za isporuku korisnog opterećenja (eng. payload) i krađu osjetljivih korisničkih podataka. Korisno opterećenje je naprednija varijacija Strela Stealer zlonamjernog softvera koja koristi zamagljene JavaScript i PowerShell komande da zaobiđe bezbjednosne mjere, što otežava tradicionalnim mehanizmima detekcije da identifikuju i spriječe njegovo izvršenje.

Lanac infekcije počinje lažnim obavještenjima putem elektronske pošte o fakturama za nedavne transakcije praćenim prilozima ZIP datoteka koji sadrže zamagljeni JavaScript kôd dizajniran za pokretanje preko Wscript skriptu. Ova skripta skriva PowerShell komandu kodiranu u base64 koja, kada se izvrši, pokreće zlonamjerni korisni teret direktno sa WebDAV servera bez čuvanja na disku. Ova tehnika omogućava zlonamjernim akterima da prenose datoteke preko interneta na način sličan FTP protokolu, što ga čini izazovnim za otkrivanje i sprečavanje.

Korisno opterećenje je ugrađeno u zamagljenu DLL datoteku koja je posebno ciljala na sisteme u Njemačkoj i Španiji. Primarna funkcija Strela Stealer zlonamjernog softvera je da ukrade osjetljive detalje konfiguracije elektronske pošte kao što su informacije o serveru, korisnička imena i lozinke od popularnih klijenata elektronske pošte kao što su Microsoft Outlook i Mozilla Thunderbird. Pored krađe akreditiva, on prikuplja detaljne sistemske informacije, omogućavajući zlonamjernim akterima da izvrše izviđanje i potencijalno pokrenu dalje ciljane akcije na kompromitovanim sistemima.

 

Uticaj

Osim krađe akreditiva, Strela Stealer zlonamjerni softver prikuplja opsežne informacije o sistemu, omogućavajući zlonamjernim akterima da izvrše izviđanje i eventualno pokrenu dodatne ciljane aktivnosti na kompromitovanim sistemima. Ovi podaci mogu uključivati detalje o instaliranom softveru, pokrenutim procesima, mrežnim vezama, pa čak i specifikacijama hardvera. Sa ovim sveobuhvatnim razumijevanjem svog ciljnog okruženja, zlonamjerni akteri mogu efikasnije da prilagode naknadne napade, povećavajući svoje šanse za uspeh.

 

ZAKLJUČAK

Strela Stealer zlonamjerni softver predstavlja značajnu prijetnju digitalnoj bezbjednosti širom sveta. Njegova sposobnost da prikuplja opsežne sistemske informacije pored krađe akreditiva čini ga moćnim alatom za zlonamjerne aktere koji žele da iskoriste ranjivosti i dobiju neovlašteni pristup osvetljivim informacijama. Upotreba elektronskih phishing poruka koje sadrže priloge ZIP datoteka, uz jako zamagljene JavaScript, PowerShell komande kôdirane base64 i WebDAV servere za izvršavanje DLL datoteka direktno sa servera bez njihovog čuvanja na lokalnom disku značajno povećava njegovu skrivenost i efikasnost.

Za borbu protiv ove prijetnje, od suštinskog je značaja za organizacije da investiraju u napredna bezbjednosna rješenja koja mogu da otkriju i neutrališu zamagljeni JavaScript kôd i PowerShell komande kôdirane base64. Pored toga, od ključnog je značaja implementacija robusnog sistema za filtriranje elektronske pošte za identifikaciju i blokiranje elektronske pošte koja sadrži phishing poruke sa prilozima ZIP datoteka. Na kraju, neophodne su redovne revizije i ažuriranja sistema kako bi se osiguralo da osjetljive informacije ostanu zaštićene od ovog strašnog protivnika.

Treba uvijek imati na umu da se digitalno okruženje stalno razvija, pa Strela Stealer zlonamjerni softver služi kao odličan podsjetnik na potrebu za stalnom budnošću i inovacijama u mjerama digitalne bezbjednosti. Sve dok postoje podaci vrijedni krađe, zlonamjerni akteri će nastaviti da inoviraju i prilagođavaju svoje taktike, zbog čega je od suštinskog značaja za organizacije da ostanu korak ispred u tekućoj borbi protiv sajber prijetnji.

 

ZAŠTITA

Kako bi se efikasno zaštita organizacija od prikrivenih prijetnji koje predstavlja zlonamjerni softver Strela Stealer, ključno je primjeriti višeslojni bezbjednosni pristup koji se bavi različitim vektorima napada. Evo nekoliko ključnih preporuka za zaštitu sistema od naprednih kradljivaca informacija:

  1. Implementirati robusne filtere elektronske pošte i mehanizme zaštite od neželjene pošte da bi se identifikovale i blokirale phishing elektronske poruke koje sadrže teret Strela Stealer zlonamjernog softvera. Obrazovati korisnike o prepoznavanju sumnjive elektronske pošte, posebno one koja se odnosi na fakture ili druga zvanična obavještenja,
  2. Primijetiti stroge kontrole pristupa na WebDAV serverima ograničavanjem ko može da se poveže sa njima i koje radnje im je dozvoljeno da obavljaju. Redovno provjeravati ove servere za bilo kakvu neovlaštenu aktivnost,
  3. Ograničiti izvršavanje PowerShell skripti i drugih potencijalno štetnih makroa na krajnjim uređajima koje ih ne zahtevaju za poslovne operacije. Primijeniti rješenja za dozvoljeni softver ili kontrolu aplikacija da bi se spriječila neželjena izvršavanja skripti,
  4. Primijeniti softvere za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji mogu da nadgledaju aktivnosti krajnjih uređaja, otkrivaju anomalije i brzo reaguju na potencijalne prijetnje kao što je Strela Stealer zlonamjerni softver. Ovi alati bi trebalo da budu u stanju da analiziraju ponašanje procesa, mrežni saobraćaj i promjene u sistemu datoteka u realnom vremenu,
  5. Implementirati rješenja za naprednu zaštitu od prijetnji (eng. Advanced Threat Protection – ATP) koja mogu da identifikuju, analiziraju i blokiraju zlonamjerne datoteke na osnovu njihovog ponašanja umjesto da se oslanjaju samo na potpise. Ovo će pomoći u zaštiti od eksploatacije nultog dana i drugih naprednih prijetnji kao što je Strela Stealer zlonamjerni softver,
  6. Sarađivati sa platformama za obavještajne podatke o prijetnjama da bi se ostalo informisanim o najnovijim taktikama, tehnikama i procedurama koje koriste zlonamjerni akteri, uključujući i one povezane sa Strela Stealer zlonamjernim softverom. Ovo će omogućiti brzo prilagođavanje odbrane u skladu sa dostupnim informacijama,
  7. Redovno obučavajti zaposlene o prepoznavanju napada socijalnog inženjeringa, razumijevanju praksi bezbjednog pregledanja i praćenju bezbjednih navika korištenja elektronske pošte. Dobro informisana radna snaga je ključna linija odbrane od phishing kampanja poput one koju koristi Strela Stealer zlonamjerni softver,
  8. Koristiti automatizovane alate za traženje prijetnji kako bi se proaktivno tražili indikatori kompromisa (eng. indicators of compromise – IOC) povezani sa Strela Stealer zlonamjernim softverom i drugim naprednim prijetnjama. Ovo će pomoći da se identifikuju potencijalne infekcije pre nego što izazovu značajnu štetu,

Prateći ove preporuke, organizacija može značajno da smanji rizik da postane žrtva prikrivenih napada koje pokreće zlonamjerni softver kao što je Strela Stealer. Od suštinske je važnosti da se primjenjuje oprez i prilagodljivost dok zlonamjerni akteri nastavljaju da razvijaju svoje taktike i tehnike.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.