Siber güvenlik manzarası son zamanlarda, özellikle Microsoft Outlook ve Mozilla Thunderbird olmak üzere belirli e -posta istemcilerini hedeflemek için tasarlanmış sofistike bir Infostealer olan Strela Stealer kötü amaçlı yazılımının ortaya çıkmasından etkilendi.
Bu kötü amaçlı yazılım 2022’nin sonlarından beri aktiftir ve öncelikle İspanya, İtalya, Almanya ve Ukrayna gibi çeşitli Avrupa ülkelerindeki kullanıcıları hedefleyen büyük ölçekli kimlik avı kampanyalarında kullanılmaktadır.
Kampanyalar, faturalarla meşru görünümlü e-postalar göndermeyi içerecek şekilde gelişti, ancak gerçek fatura yerine Strela Stealer kötü amaçlı yazılım yükleyicisi ile bir fermuar arşivi içeriyorlar.
Teknik analiz ve dağıtım mekanizması
Strela Stealer, alıcıları bir JScript dosyası içeren bir ZIP dosyası açmaya teşvik eden hazırlanmış kimlik avı e -postaları aracılığıyla teslim edilir.
Yürütüldükten sonra, bu komut dosyası regsvr32 yardımcı programını kullanarak bir DLL dosyasını indirmek ve yürütmek için bir komut ve kontrol (C2) sunucusuna bağlanır.
Kötü amaçlı yazılım, çok katmanlı gizleme ve kontrol akışı düzlemesi de dahil olmak üzere gelişmiş gizleme teknikleri kullanır ve bu da analiz edilmesini zorlaştırır.
TrustWave raporuna göre, DLL gereksiz aritmetik operasyonlarla doludur ve statik ithalattan yoksundur, bu da tespiti daha da karmaşıklaştırır.
Çalışma ve pess
Başarılı bir yürütmeden sonra, Strela Stealer, hedeflenen bölgelerle eşleşmesini sağlamak için sistemin yerel ayarını doğrular.
Onaylanırsa, Microsoft Outlook ve Mozilla Thunderbird’den e -posta kimlik bilgilerini çalmaya devam eder.
Outlook için, kayıt defterinden kullanıcı, sunucu ve şifre ayrıntılarını IMAP kullanıcı, sunucu ve şifre çözer.
Çalınan veriler, Rus kurşun geçirmez barındırma ağında barındırılan bir C2 sunucusuna HTTP Post istekleri yoluyla açıklanır.
Ayrıca, kötü amaçlı yazılım sistem bilgilerini toplar ve C2 sunucusuna da gönderilen yüklü uygulamaları listeler.
Strela Stealer’ın altyapısı, çeşitli kötü amaçlı yazılım işlemlerini barındırdığı bilinen bir ağ olan Proton66 OOO Otonom System ile bağlantılıdır.
‘Hive0145’ olarak adlandırılan Strela Stealer’ın arkasındaki tehdit oyuncusu, kötü amaçlı yazılımın etkinliğini korumak için sofistike sosyal mühendislik taktikleri ve teknik kaçaklama yöntemleri geliştirdi.
Siber güvenlik tehditleri gelişmeye devam ettikçe, bu tür hedeflenen saldırıları anlamak ve azaltmak, hassas kullanıcı verilerinin korunması için çok önemlidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free