Вредоносная программа StrelaStealer была обнаружена в 2022 году и с тех пор злоумышленники за ее спиной запустили множество кампаний с отправкой спам-писем с вложениями, которые загружают DLL StrelaStealer на системы жертв. Целью атаки является похищение данных для входа в систему электронной почты, которые злоумышленник может использовать для проведения дальнейших атак.
Последняя волна кампаний StrelaStealer охватила более 100 организаций в ЕС и США. Злоумышленники меняют формат исходного файла вложения, чтобы избежать обнаружения по ранее сгенерированным сигнатурам или шаблонам. Авторы вредоносной программы также обновляют полезную нагрузку DLL с использованием более сложных методов обфускации и антианалитических уловок.
StrelaStealer был задокументирован в 2022 году и с тех пор было проведено множество кампаний в США и ЕС. Последняя крупномасштабная кампания в 2023 году была проведена в ноябре, затронув организации в обоих регионах. Несколько месяцев спустя, в январе 2024 года, началась новая кампания, направленная на различные отрасли промышленности.
Стратегия атаки StrelaStealer осталась практически неизменной, но злоумышленники обновили вредоносную программу, чтобы избежать обнаружения. Теперь угроза доставляется через заархивированный JScript, а полезная нагрузка DLL использует обновленные методы обфускации.
Indicators of Compromise
IPv4
- 193.109.85.231
SHA256
- 0d2d0588a3a7cff3e69206be3d75401de6c69bcff30aa1db59d34ce58d5f799a
- 3189efaf2330177d2817cfb69a8bfa3b846c24ec534aa3e6b66c8a28f3b18d4b
- 544887bc3f0dccb610dd7ba35b498a03ea32fca047e133a0639d5bca61cc6f45
- aea9989e70ffa6b1d9ce50dd3af5b7a6a57b97b7401e9eb2404435a8777be054
- b8e65479f8e790ba627d0deb29a3631d1b043160281fe362f111b0e080558680
- e6991b12e86629b38e178fef129dfda1d454391ffbb236703f8c026d6d55b9a1
- f95c6817086dc49b6485093bfd370c5e3fc3056a5378d519fd1f5619b30f3a2e