StrelaStealer поражает энергетику, производство и правительственные учреждения

В новом отчёте исследователей Unit 42 из Palo Alto Networks сообщается о выявлении новой серии фишинговых атак, целью которых является распространение вредоносного программного обеспечения под названием StrelaStealer. Эта угроза охватывает более 100 организаций в Европейском Союзе и Соединённых Штатах.

Атаки проводятся через спам-сообщения с вложениями, которые запускают DLL-полезную нагрузку StrelaStealer. Для уклонения от обнаружения злоумышленники периодически меняют формат файла вложения в начальном письме.

Вредонос StrelaStealer, впервые обнаруженный в ноябре 2022 года, предназначен для кражи данных учётных записей электронной почты из популярных почтовых клиентов и их отправки на сервер, контролируемый атакующими.

С момента начала использования вредоноса исследователи зафиксировали две крупномасштабные кампании с применением этого вредоносного ПО: одна из них была в ноябре 2023, а другая в январе 2024 года. Обе кампании были нацелены на сектора технологий, финансов, профессиональных и юридических услуг, производства, энергетики, страхования, строительства, а также на правительственные учреждения.

В последней итерации атак хакеры использовали электронные письма на тему счетов-фактур с вложениями в виде ZIP-архивов. Внутри них находились JavaScript-файлы, которые запускали пакетный файл, инициирующий загрузку вредоносной DLL-составляющей через легитимный инструмент Windows «rundll32.exe». Как сообщается, StrelaStealer использует различные техники обфускации, затрудняющие его анализ в изолированных средах.

Рассмотренная вредоносная кампания служит напоминанием о необходимости постоянного повышения осведомлённости и принятия надлежащих мер безопасности для защиты конфиденциальных данных и критически важных систем от современных угроз, таких как StrelaStealer и ему подобных.