StrelaStealer Kötü Amaçlı Yazılım 100'den Fazla Kuruluşu Hackledi

Strelastealer kötü amaçlı yazılımının şu anda ABD ve AB genelinde 100'den fazla kuruluşu etkileyen büyük ölçekli kampanyalarda dağıtıldığı tespit edildi.

Kötü amaçlı yazılım ilk olarak 2022'de keşfedildi ve kurbanın e-posta oturum açma bilgilerini çalıp tehdit aktörünün C2 sunucusuna sızdırma yeteneğine sahip.

Ancak mevcut kampanyalar, StrelaStealer'ın DLL yükünü başlatmak için ekleri olan spam e-postalar şeklinde yürütülüyordu.

Tehdit aktörleri, e-posta ağ geçitlerinde tespit edilmekten kaçınmanın bir yolu olarak, imzaların ve kalıpların eşleşmesini önleyen dosya formatını değiştiriyor.

Üstelik tehdit aktörlerinin yürüttüğü son kampanyanın tarihi Kasım 2023'e dayanıyor.

StrelaStealer Kötü Amaçlı Yazılım

Unit 42 araştırmacıları tarafından paylaşılan raporlara göre, kötü amaçlı yazılım yazarları, analistlerin ve güvenlik ürünlerinin örnekleri analiz etmesini son derece zorlaştırmak için DLL yükünü daha iyi gizleme ve anti-analiz yöntemleriyle güncelliyor.

Çeşitli taktikler kullanılmış olmasına rağmen, DLL yükündeki tanımlanabilir “strela” dizesi sayesinde kötü amaçlı yazılım hala tespit edilebiliyor.

Bununla birlikte, kötü amaçlı yazılımın yeni çeşidi, DLL yükünde güncellenmiş bir gizleme tekniği kullanan, sıkıştırılmış bir JScript olarak teslim ediliyor.

Spam e-postaların konu satırında genellikle Factura (Bill – İspanyolca)/Rechnung (Fatura – Almanca) /invoice### kalıpları vardı.

Ayrıca tehdit aktörlerinin bu kötü amaçlı yazılımla ağırlıklı olarak ileri teknolojiye sahip sektörleri hedef aldığı da ortaya çıktı.

Kötü Amaçlı Yazılım Analizi

StrelaStealer'ın önceki çeşitleri, bir LNK dosyası ve bir HTML dosyası içeren ISO dosyalarının kullanımını içerir.

Ayrıca kötü amaçlı yazılım, yürütülen uygulamalara göre değişen çok dilli dosyalar da kullanıyordu.

Bir kurban, ISO dosyası içindeki LNK dosyasına tıkladığında, HTML dosyası yürütülür ve bu, gömülü StrelaStealer yükünün rundll32.exe aracılığıyla yürütülmesini başlatır.

Birim 42 araştırmacıları, ilk DLL yükünün şifrelendiğini ve yürütme sırasında sabit bir XOR anahtarı yardımıyla şifresinin çözüldüğünü söyledi.

Kötü amaçlı yazılımın mevcut versiyonundan itibaren, tehdit aktörleri, indirilip açıldığında sisteme bir JScript dosyası bırakan ZIP dosyası eklerine sahip hedef odaklı kimlik avı e-postaları kullanıyor.

Bunu takiben, JScript dosyası başka bir base64 şifreli dosyayı ve bir toplu iş dosyasını bırakır.

Base64 ile şifrelenmiş dosya, kullanıcının ayrıcalığına bağlı olarak %appdata%\temp veya c:\temp dizinine bırakılan bir Taşınabilir Yürütülebilir DLL dosyası oluşturacak certutil -f decode komutuyla gömülüdür.

Bu DLL dosyası daha sonra rundll32.exe işlemini kullanan dışa aktarılan merhaba işlevi kullanılarak yürütülür.

Üstelik yeni varyantın paketleyicisi, kötü amaçlı yazılımın analistler ve güvenlik ürünleri tarafından analiz edilmesini önlemek amacıyla çok sayıda aritmetik fonksiyon içeren uzun bir kod bloğuna sahip bir kontrol akışı gizleme tekniği de kullanıyor.

Yük boyutu ve şifre çözme anahtarı, veri yükünün yapılandırmasına bağlıdır.

Her spam e-postanın dosya ekleri farklı olsa da strela, server.php, key4.db ve login.json gibi dizelerin varlığı bunların StrelaStealer kötü amaçlı yazılımıyla ilişkisini gösterir.

Ayrıca yükün konfigürasyonu, kurbanlardan e-posta oturum açma verilerinin çalınması için C2 sunucusuyla iletişimi de içeriyor.

Uzlaşma Göstergeleri

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.