Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmacıları, Strela Stealer’ın “kötü amaçlı yazılım dağıtım tekniklerinde dikkate değer bir ilerlemeyi temsil eden, artan gelişmişlik ve gizliliğin altını çizen” yeni bir Strela Stealer varyasyonunu ortaya çıkardığını söyledi Cyble, bugün bir blog yazısında söyledi.
Yeni kampanya, Almanca, İspanyolca ve Baskça sürümleriyle Almanya ve İspanya’yı hedefliyor gibi görünüyor, ancak tüm kötü amaçlı yazılımlarda olduğu gibi, bilgi hırsızlığının ilk sürümünde olduğu gibi, muhtemelen bir noktada başka bir amaçla yeniden kullanılacak.
Yeni Strela Stealer Gizlenmiş JavaScript ve PowerShell Kullanıyor
İlk olarak 2022 yılında DCSO tarafından tanımlanan Strela Stealer, öncelikle Microsoft Outlook ve Mozilla Thunderbird gibi yaygın olarak kullanılan e-posta istemcilerinden hesap kimlik bilgilerini çalmak için oluşturulmuş bir bilgi hırsızıdır. Başlangıçta, .lnk dosyası ve çok dilli dosya içeren kötü amaçlı ISO dosyası ekleriyle İspanyolca konuşan kullanıcıları hedef alıyordu. ZIP ekleri bir sonraki evrimdi.
Cyble, yeni Strela Stealer varyantının, oldukça karmaşık JavaScript ve base64 kodlu PowerShell komutları ekleyerek “tespit ve yanıt çabalarını önemli ölçüde karmaşıklaştırdığını” söyledi.
Bir başka yeni gelişme ise DLL dosyasını diske kaydetmeden doğrudan WebDAV sunucusundan çalıştırmaktır, bu da güvenlikten kaçma yeteneklerini daha da artırır.
Cyble, kötü amaçlı yazılımın, e-posta yapılandırma ayrıntılarını çalmak ve ayrıntılı sistem bilgilerini toplamak üzere programlandığını, bunun da “saldırganların güvenliği ihlal edilmiş sistemler üzerinde keşif yapmasına ve potansiyel olarak başka hedefli eylemler başlatmasına olanak tanıdığını” söyledi.
Fatura Bildirimleri, ZIP Dosyası ile Yeni Kampanya Başlıyor
Yeni kampanya, yakın zamanda yapılan bir satın alma işlemine ilişkin sahte bir fatura bildirimi ve WScript üzerinden çalışması amaçlanan, gizlenmiş JavaScript kodunu içeren bir ZIP dosyası ekiyle (aşağıdaki resim) başlıyor. Kod, base64 kodlu bir PowerShell komutunu başlatıyor ve bu komut, bir WebDAV sunucusundaki son kötü amaçlı DLL dosyasını “” kullanarak çalıştırıyor.rundll32.exe“dışa aktarma işlevi aracılığıyla”Giriş.”
Araştırmacılar, “Bu yöntemin kullanılmasıyla kötü amaçlı DLL dosyası diske kaydedilmez ve bu da dosyanın güvenlik ürünleri tarafından tespit edilmesinden kaçmasına olanak tanır” dedi.
JavaScript dosyası, gizli kodunu oluşturmak ve yürütmek için dize değiştirmeyi kullanır; bu, komut dosyasına gömülü bir PowerShell komutunu ve base64 kodlu bir yükü başlatır. Bu komut bir WebDAV sunucusuyla bağlantı kurar ve ana veri yükü için yükleyici görevi gören bir DLL dosyasını çalıştırır.
Araştırmacılar, “DLL, analizi daha zorlu hale getiren ve potansiyel olarak sökücünün çökmesine neden olan çok sayıda koşullu atlama talimatı içeriyor” dedi. “Ayrıca, kapsamlı dallanma ve koşullar nedeniyle bazı işlevler hata ayıklayıcıda varsayılan ayarlarla düzgün çalışmayabilir.”
DLL, aynı bölümde depolanan ek verilerin şifresini çözmek ve sonuçta ana yükü çıkarmak için kullanılan “.data” bölümü içindeki sabit kodlanmış bir anahtara erişir. Ortaya çıkan MZ dosyası doğrudan “rundll32.exe” işlem.
Bu süreç bir dil eşleşmesi bulursa Klavye Düzenini Al API, bilgi hırsızı yürütmeye devam ediyor. Dil eşleşmesi yoksa durur. Cyble, “Bu davranış, kötü amaçlı yazılımın özellikle Almanya ve İspanya içindeki bölgeleri hedef aldığını gösteriyor” dedi.
Cyble blogunun tamamı ek ayrıntılar, MITRE ATT&CK teknikleri ve yaklaşık 100 Uzlaşma Göstergesi (IoC) içerir.
İlgili