25/03/24
В новом отчёте исследователей Unit 42 из Palo Alto Networks сообщается о выявлении новой серии фишинговых атак, целью которых является распространение вредоносного программного обеспечения под названием StrelaStealer. Эта угроза охватывает более 100 организаций в Европейском Союзе и Соединённых Штатах, пишет Securitylab.
Атаки проводятся через спам-сообщения с вложениями, которые запускают DLL-полезную нагрузку StrelaStealer. Для уклонения от обнаружения злоумышленники периодически меняют формат файла вложения в начальном письме.
Вредонос StrelaStealer, впервые обнаруженный в ноябре 2022 года, предназначен для кражи данных учётных записей электронной почты из популярных почтовых клиентов и их отправки на сервер, контролируемый атакующими.
С момента начала использования вредоноса исследователи зафиксировали две крупномасштабные кампании с применением этого вредоносного ПО: одна из них была в ноябре 2023, а другая в январе 2024 года. Обе кампании были нацелены на сектора технологий, финансов, профессиональных и юридических услуг, производства, энергетики, страхования, строительства, а также на правительственные учреждения.
В последней итерации атак хакеры использовали электронные письма на тему счетов-фактур с вложениями в виде ZIP-архивов. Внутри них находились JavaScript-файлы, которые запускали пакетный файл, инициирующий загрузку вредоносной DLL-составляющей через легитимный инструмент Windows «rundll32.exe». Как сообщается, StrelaStealer использует различные техники обфускации, затрудняющие его анализ в изолированных средах.
