StrelaStealer Malware IOCs - Part 4

Spyware IOC
Опубликовано

Группа исследования угроз SonicWall Capture Labs следит за ростом распространения StrelaStealer, вредоносной программы для кражи информации (infostealer), впервые появившейся в 2022 году.


В середине июня наблюдался заметный всплеск числа JavaScript, распространяющих StrelaStealer, который нацелен на учетные данные электронной почты Outlook и Thunderbird. Цепочка заражения StrelaStealer остается похожей на предыдущие версии, но теперь включает проверки, позволяющие избежать заражения российских систем. Цели вируса находятся в основном в Польше, Испании, Италии и Германии.

Начальный вектор заражения - обфусцированный JavaScript-файл, рассылаемый по электронной почте в архивных файлах. Этот файл сбрасывает свою копию в каталог пользователя со случайным именем, а затем запускает пакетный файл для проверки языка системы, исключая русских пользователей путем обнаружения кода OSLanguage "1049". Если язык не русский, то подбрасывается PE-файл в base64-кодировке, декодируется, создается DLL и выполняется с помощью regsvr32.exe.

Обфусцированный код DLL расшифровывает реальный PE-файл и внедряет его в текущий процесс. Угонщик динамически загружает необходимые API и проверяет раскладку клавиатуры, чтобы определить географическое положение системы. Он нацелен на такие языки, как испанский, баскский, польский, каталонский, итальянский и немецкий.
Вредоносная программа начинает свою кражу с Mozilla Thunderbird, ища определенные файлы и отправляя данные на указанный IP-адрес. Кроме того, вредоносная программа использует Outlook, получая информацию из определенных ключей реестра и отправляя эти данные на тот же IP-адрес.

Indicators of Compromise

IPv4

  • 45.9.74.176

SHA256

  • 00e7bdaa8ff895b3b82a0b9cc8ba1971d6401e9cf575ec44a5bc3adc6bfd0771
  • 0f069016bc5c9347099589c103c8617e716ad301c3b83b69b5ebd11ef623cf78
  • 2385a4dcf8076eb51ad6893624d36ba49beac92f1e681297afbb89cd5be46c57
  • a4cd72aea29e992fcdf808370f3a7c9333458535b86c9a11a1fff20299f837e6
  • b36fee8895bd828a42a166488b4a2574a232726d89153e3e37fe4382020f7800
  • f2afca709e2973f2733887e401c903580e1ffe4d4ae6d7ea28cc5a6149ba4b96

 

Похожие записи:
  1. StrelaStealer IOCs
  2. StrelaStealer IOCs - Part 2
  3. StrelaStealer Malware IOCs
  4. AgentTesla Stealer IOCs - Part 15
  5. Mars Stealer IOC
SonicWall Stealer StrelaStealer
SEC-1275-1
Добавить комментарий