StrelaStealer IOCs

Spyware IOC

StrelaStealer - предназначенную для кражи данных для входа в почту.

StrelaStealer

DCSO CyTec впервые обнаружил StrelaStealer в начале ноября 2022 года, распространяемый через ISO-файлы с, по-видимому, испанскими целями, основанными на использованных документах-приманках. На данный момент неясно, является ли StrelaStealer частью целенаправленной атаки.

Образцы StrelaStealer распространяются в файлах ISO с различным содержимым. В одном случае StrelaStealer использует переименованный msinfo32.exe для боковой загрузки StrelaStealer как slc.dll. Другой, более интересный вариант распространяет StrelaStealer как полиглот DLL/HTML.

Полиглоты - это файлы, которые действительны в двух или более различных форматах. В данном случае StrelaStealer использует файл, который одновременно является и DLL, и HTML-страницей.

Файл ISO содержит два файла, один Factura.lnk и файл полиглота x.html. Файл LNK выполняет x.html дважды, один раз как DLL и второй раз как HTML-файл.

Примеры StrelaStealer представляют собой DLL-файлы, основная функциональность которых запускается вызовом главной экспортной функции с именем Strela или s. Хотя ее код не обфусцирован, строки шифруются с помощью циклического xor с жестко закодированным ключом.

После выполнения StrelaStealer пытается найти и украсть данные для входа в почту из Thunderbird и Outlook.

Для Thunderbird StrelaStealer ищет logins.json и key4.db в каталоге %APPDATA%\Thunderbird\Profiles\ и отправляет содержимое файлов на свой C2.

Для Outlook, StrelaStealer перечисляет ключ реестраHKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\ для того, чтобы найти значения IMAP User, IMAP Server и IMAP Password. Затем StrelaStealer расшифровывает IMAP-пароль с помощью CryptUnprotectData перед отправкой тройки на C2.

Связь осуществляется с помощью обычных HTTP POST, при этом полезная нагрузка шифруется с помощью того же ключа xor, что и для строк. Имя сервера и ресурса C2 задается жестко, и до сих пор все образцы были настроены на одно и то же имя:

hxxp://193.106.191[.]166/server.php

IP-адрес размещен на известном российском пуленепробиваемом хостинге "Kanzas LLC" с /24, вероятно, размещенным в Москве.

Украденные файлы из Thunderbird отправляются домой в следующем формате:

Данные Outlook используют следующий формат:

При отправке данных StrelaStealer проверяет, чтобы последние два байта ответа были KH, что сигнализирует об успешной передаче и заставляет StrelaStealer завершить работу, в противном случае он повторяет попытку отправить данные снова после 1-секундного сна.

Indicators of Compromise

IPv4

  • 193.106.191.166

URLs

  • http://193.106.191.166/server.php
  • http://45.142.212.20/dll.dll

SHA256

  • 1437a2815fdb82c7e590c1e6f4b490a7cdc7ec81a6cb014cd3ff712304e4c9a3
  • 6e8a3ffffd2f7a91f3f845b78dd90011feb80d30b4fe48cb174b629afa273403
  • 879ddb21573c5941f60f43921451e420842f1b0ff5d8eccabe11d95c7b9b281e
  • 8b0d8651e035fcc91c39b3260c871342d1652c97b37c86f07a561828b652e907
  • ac040049e0ddbcb529fb2573b6eced3cfaa6cd6061ce2e7a442f0ad67265e800
  • b7e2e4df5cddcbf6c0cda0fb212be65dea2c442e06590461bf5a13821325e337
  • be9f84b19f02f16b7d8a9148a68ad8728cc169668f2c59f918d019bce400d90e
  • bfc30cb876b45bc7c5e7686a41a155d791cd13309885cb6f9c05e001eca1d28a
  • c69bac4620dcf94acdee3b5e5bcd73b88142de285eea59500261536c1513ab86
  • c8eb6efc2cd0bd10d9fdd4f644ebbebdebaff376ece9e48ff502f973fe837820
  • d8d28aa1df354c7e0798279ed3fecad8effef8c523c701faaf9b5472d22a5e28
  • fa1295c746e268a3520485e94d1cecc77e98655a6f85d42879a3aeb401e5cf15
SEC-1275-1
Добавить комментарий