В новом отчёте исследователей Unit 42 из Palo Alto Networks сообщается о выявлении новой серии фишинговых атак, целью которых является распространение вредоносного программного обеспечения под названием StrelaStealer. Эта угроза охватывает более 100 организаций в Европейском Союзе и Соединённых Штатах.
Атаки проводятся через спам-сообщения с вложениями, которые запускают DLL-полезную нагрузку StrelaStealer. Для уклонения от обнаружения злоумышленники периодически меняют формат файла вложения в начальном письме.
Вредонос StrelaStealer, впервые обнаруженный в ноябре 2022 года, предназначен для кражи данных учётных записей электронной почты из популярных почтовых клиентов и их отправки на сервер, контролируемый атакующими.
С тех пор было обнаружено две крупномасштабные кампании с использованием этого вредоносного ПО: одна из них была в ноябре 2023, а другая в январе 2024 года. Обе кампании были нацелены на сектора технологий, финансов, профессиональных и юридических услуг, производства, энергетики, страхования, строительства, а также на правительственные учреждения.
В последней итерации атак хакеры использовали электронные письма на тему счетов-фактур с вложениями в виде ZIP-архивов. Внутри них находятся JavaScript-файлы, которые запускают пакетный файл, инициирующий загрузку DLL-нагрузки через легитимный инструмент Windows “rundll32.exe”. Вредоносное ПО использует различные техники обфускации, затрудняющие его анализ в изолированных средах.
Рассмотренная вредоносная кампания служит напоминанием о необходимости постоянного повышения осведомлённости и принятия надлежащих мер кибербезопасности для защиты конфиденциальных данных и критически важных систем от современных угроз, таких как StrelaStealer и ему подобных.