Malware StrelaStealer: colpitie oltre 100 organizzazioni USA e UE

Una nuova campagna malware su larga scala StrelaStealer ha colpito oltre un centinaio di organizzazioni negli Stati Uniti e in Europa, tentando di rubare le credenziali degli account di posta elettronica. StrelaStealer è stato documentato per la prima volta nel novembre 2022. Questo malware viene usato per il furto di informazioni e credenziali degli account di posta elettronica da Outlook e Thunderbird. Caratteristica del malware era l'utilizzo di un metodo di infezione di file poliglotta per eludere il rilevamento da parte del software di sicurezza. All'epoca, StrelaStealer era stato visto prendere di mira prevalentemente utenti di lingua spagnola. Tuttavia, secondo un recente report dell’Unit42 di Palo Alto Networks, il malware prende ora di mira utenti provenienti dagli Stati Uniti e dall'Europa.

StrelaStealer: meccanismo d’infezione evoluto per colpire le vittime

StrelaStealer viene distribuito attraverso campagne di phishing che hanno mostrato un aumento significativo nel novembre 2023. In pochi giorni sono state prese di mira oltre 250 organizzazioni negli Stati Uniti. Gli elevati volumi di distribuzione di e-mail di phishing sono continuati nel 2024. Tra la fine di gennaio e l’inizio di gennaio, gli analisti di Unit42 hanno infatti registrato un'ondata significativa di attività del malware. In questo periodo, negli Stati Uniti sono stati rilevati 500 attacchi, mentre Unit42 afferma di aver confermato almeno 100 utenti compromessi, anche in Europa. Gli operatori di malware hanno utilizzato l'inglese e altre lingue europee per adattare i loro attacchi a seconda delle loro necessità. La maggior parte delle organizzazioni prese di mira opera nel settore “high tech”. Ma non sono mancati attacchi verso aziende di settori come finanza, servizi legali, produzione, governo, servizi pubblici ed energia, assicurazioni ed edilizia.

StrelaStealer utilizza ancora e-mail dannose come vettore di infezione, ma con meccanismi evoluti. In precedenza, le e-mail allegavano file .ISO contenenti un collegamento .lnk e un file HTML, che utilizzava il poliglotismo per invocare "rundll32.exe" ed eseguire il payload del malware. L'ultima catena di infezione utilizza allegati ZIP per rilasciare file JScript sul sistema della vittima. Una volta eseguiti, gli script, vengono rilasciati un file batch e un file base64-encoded che decodifica in una DLL. La DLL viene eseguita nuovamente tramite rundll32.exe per distribuire il payload StrelaStealer. La versione più recente del malware utilizza l'offuscamento del flusso di controllo nel suo confezionamento per complicare l'analisi. Inoltre, rimuove le stringhe PDB per eludere il rilevamento da parte di strumenti che si basano su firme statiche. Per evitare di cadere nella trappola del malware è consigliato non aprire e-mail non richieste che riguardano pagamenti o fatture, ma anche scaricare file sconosciuti.