Недавняя цепочка заражения StrelaStealer включает в себя файлы-приманки в формате pdf

Spyware

Недавняя активность StrelaStealer продолжает использовать серверы WebDAV для размещения вредоносного ПО.

StrelaStealer

С конца января 2025 года мы начали замечать, что в процессе заражения используются ложные PDF-файлы.

По состоянию на понедельник 2025-02-10 сервер WebDAV и C2 по адресу 193.143.1[.]205 по-прежнему активно размещает ложные PDF-файлы и вредоносное ПО StrelaStealer.

Приманка PDF не является вредоносной, но имеет размытое изображение и служит для введения потенциальных жертв в заблуждение.

Файлы .js выполняются только в том случае, если на Windows-хосте жертвы используются следующие языки и локали:

  • Немецкий (Австрия)
  • немецкий (Германия)
  • немецкий (Лихтенштейн)
  • Немецкий (Люксембург)
  • немецкий (Швейцария)

Недавняя цепочка заражения

электронное письмо --> вложенный zip-архив --> извлеченный файл JavaScript (.js) --> wscript.exe запускает файл .js при двойном щелчке:

  • скрипт генерирует команду PowerShell для получения и открытия ложного PDF-документа.
  • Сценарий также запускает командную строку в фоновом режиме для выполнения библиотеки StelaStealer DLL, размещенной на сервере WebDAV.

Indicators of Compromise

IPv4

  • 193.143.1.205

IPv4 Port Combinations

  • 193.143.1.205:8888

SHA256

  • 0237c0247632a2ea8d80bb1a3398f1ba9b8f7704af70113e8fa0bbe688550ea1
  • 023fe721b61eb902dde8e89cf1d2d9a9a90a9e3016c36836f3f96eb0846e0e4f
  • 0d11f84e614c5394218abcfde06dc0ca4befb4d4527ec38a009e9bd78a0a403c
  • 0e8e0a57a3cc02c8666378463e1bde1697c3e6bb14e5b773f644e06ea05ab41c
  • 18f2f23775a128b26139cf373373890d7165049600af5f3da6776a04c991f82f
  • 2e76869289964a9025f8dc20c9f4ce0c341a7b0305c3906e717c812af4efff88
  • 36d1eeb02cd95376360a2bb64fbd531f57a5ad1e496f1a28f9d6f8d1b30150da
  • 3d90244755ddc949ba4a46ba01dc8157dbe0ffa96aab27a43fca4e2f2f7960ce
  • 3ea9961f6b11e3fd9f09e76819ab7083f1ad924d5fbd543b466c467880e943d4
  • 3fa21cc2a8b3548d82f432e4498b867f774083a879c91056afa0d0b1116d8af3
  • 4adf4847c92046a65f51a2f0886f6c97a27e4fd73e0bf3a6d7778b500f40c4a7
  • 4f512c879ae57917208596543e039012e13588437e106c1986c25428ae6aa58a
  • 526f99634031b5220df204148aaeaf4a105c927a9623eff4e0e6eab2fec470e6
  • 56ddf2bcd35791d353cccb64f2b03b4e30d62fbf64408a53fb081acb229e7bb1
  • 57a98c713f1b54cf2a15f03abd827361ba03f94ce04668558f5a3987a1f47dc6
  • 7e4939b5a3f45a6deca1e52fb1570a41a64eab4100819be1ce277ff05869527d
  • 915c9d78cf65c4be89eda22e5f03d44d6a593bc4be02fa816871d8ee398ca8fa
  • 9f418f7c66d036b02047f0e99a86647e406f97457ba5ff05aa8c6774e2156166
  • b83bc3ea84a1dfa72e46905e8fe63d8102e67866be40d0f74aa25cba6467765e
  • b85724ef6d750864422bae530864a6a77c7616d2dc291da74c1fc41e23ece6c3
  • bd7d9850ab56ea616b6762e736adbfc12809cdfd18525b0eb79712be7317200c
  • cc773750eff260dc5396f878e3a61f5a79689e0078e8b679b3152f7af027a429
  • cf7ebeeab3c143444a761b8aff25ee9cf3bb498927004e27cfe33fb7eee75c93
  • f3677f29dee7338da89321564757caa15ce0c50f85540977b7470bf3a6ca0d2c
  • fc3518d746cdb3738da976551795b9727619f41f89ac0641533126e2f69b969a
Комментарии: 0