Strelastealer kötü amaçlı yazılımının şu anda ABD ve AB genelinde 100'den fazla kuruluşu etkileyen büyük ölçekli kampanyalarda dağıtıldığı tespit edildi.
Kötü amaçlı yazılım ilk olarak 2022'de keşfedildi ve kurbanın e-posta oturum açma bilgilerini çalıp tehdit aktörünün C2 sunucusuna sızdırma yeteneğine sahip.
Ancak mevcut kampanyalar, StrelaStealer'ın DLL yükünü başlatmak için ekleri olan spam e-postalar şeklinde yürütülüyordu.
Tehdit aktörleri, e-posta ağ geçitlerinde tespit edilmekten kaçınmanın bir yolu olarak, imzaların ve kalıpların eşleşmesini önleyen dosya formatını değiştiriyor.
Üstelik tehdit aktörlerinin yürüttüğü son kampanyanın tarihi Kasım 2023'e dayanıyor.
StrelaStealer Kötü Amaçlı Yazılım
Unit 42 araştırmacıları tarafından paylaşılan raporlara göre, kötü amaçlı yazılım yazarları, analistlerin ve güvenlik ürünlerinin örnekleri analiz etmesini son derece zorlaştırmak için DLL yükünü daha iyi gizleme ve anti-analiz yöntemleriyle güncelliyor.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Çeşitli taktikler kullanılmış olmasına rağmen, DLL yükündeki tanımlanabilir “strela” dizesi sayesinde kötü amaçlı yazılım hala tespit edilebiliyor.
Bununla birlikte, kötü amaçlı yazılımın yeni çeşidi, DLL yükünde güncellenmiş bir gizleme tekniği kullanan, sıkıştırılmış bir JScript olarak teslim ediliyor.
Spam e-postaların konu satırında genellikle Factura (Bill – İspanyolca)/Rechnung (Fatura – Almanca) /invoice### kalıpları vardı.
Ayrıca tehdit aktörlerinin bu kötü amaçlı yazılımla ağırlıklı olarak ileri teknolojiye sahip sektörleri hedef aldığı da ortaya çıktı.
.webp)
Kötü Amaçlı Yazılım Analizi
StrelaStealer'ın önceki çeşitleri, bir LNK dosyası ve bir HTML dosyası içeren ISO dosyalarının kullanımını içerir.
Ayrıca kötü amaçlı yazılım, yürütülen uygulamalara göre değişen çok dilli dosyalar da kullanıyordu.
.webp)
Bir kurban, ISO dosyası içindeki LNK dosyasına tıkladığında, HTML dosyası yürütülür ve bu, gömülü StrelaStealer yükünün rundll32.exe aracılığıyla yürütülmesini başlatır.
Birim 42 araştırmacıları, ilk DLL yükünün şifrelendiğini ve yürütme sırasında sabit bir XOR anahtarı yardımıyla şifresinin çözüldüğünü söyledi.
Kötü amaçlı yazılımın mevcut versiyonundan itibaren, tehdit aktörleri, indirilip açıldığında sisteme bir JScript dosyası bırakan ZIP dosyası eklerine sahip hedef odaklı kimlik avı e-postaları kullanıyor.
Bunu takiben, JScript dosyası başka bir base64 şifreli dosyayı ve bir toplu iş dosyasını bırakır.
Base64 ile şifrelenmiş dosya, kullanıcının ayrıcalığına bağlı olarak %appdata%\temp veya c:\temp dizinine bırakılan bir Taşınabilir Yürütülebilir DLL dosyası oluşturacak certutil -f decode komutuyla gömülüdür.
Bu DLL dosyası daha sonra rundll32.exe işlemini kullanan dışa aktarılan merhaba işlevi kullanılarak yürütülür.
Üstelik yeni varyantın paketleyicisi, kötü amaçlı yazılımın analistler ve güvenlik ürünleri tarafından analiz edilmesini önlemek amacıyla çok sayıda aritmetik fonksiyon içeren uzun bir kod bloğuna sahip bir kontrol akışı gizleme tekniği de kullanıyor.
Yük boyutu ve şifre çözme anahtarı, veri yükünün yapılandırmasına bağlıdır.
Her spam e-postanın dosya ekleri farklı olsa da strela, server.php, key4.db ve login.json gibi dizelerin varlığı bunların StrelaStealer kötü amaçlı yazılımıyla ilişkisini gösterir.
Ayrıca yükün konfigürasyonu, kurbanlardan e-posta oturum açma verilerinin çalınması için C2 sunucusuyla iletişimi de içeriyor.
Uzlaşma Göstergeleri
| SHA256 Karma | Dosya tipi |
| 0d2d0588a3a7cff3e69206be3d75401de6c69bcff30aa1db59d34ce58d5f799ae6991b12e86629b38e178fef129dfda1d454391ffbb236703f8c026d6d55b9a1 | DLL |
| f95c6817086dc49b6485093bfd370c5e3fc3056a5378d519fd1f5619b30f3a2eaea9989e70ffa6b1d9ce50dd3af5b7a6a57b97b7401e9eb2404435a8777be054b8 e6 5479f8e790ba627d0deb29a3631d1b043160281fe362f111b0e080558680 | EML |
| 3189efaf2330177d2817cfb69a8bfa3b846c24ec534aa3e6b66c8a28f3b18d4b | Posta Kodu |
| 544887bc3f0dccb610dd7ba35b498a03ea32fca047e133a0639d5bca61cc6f45 | JS |
| 193[.]109[.]85[.]231 | C2 sunucusu |
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.