Yeni bir büyük ölçekli Strelastealer kötü amaçlı yazılım kampanyası, E-posta hesabı kimlik bilgilerini çalmaya çalışan Amerika Birleşik Devletleri ve Avrupa genelinde yüzden fazla kuruluşu etkiledi.
Strelastealer ilk olarak Kasım 2022'de Outlook ve Thunderbird'den e-posta hesabı kimlik bilgilerini çalan yeni bir bilgi çalma kötü amaçlı yazılımı olarak belgelendi.
Kötü amaçlı yazılımın dikkate değer bir özelliği, güvenlik yazılımından algılamadan kaçınmak için bir poliglot dosya enfeksiyon yöntemi kullanmaktı.
O sırada Strelastealer, ağırlıklı olarak İspanyolca konuşan kullanıcıları hedefliyor. Ancak, Palo Alto Networks 'Unit42'nin yakın tarihli bir raporuna göre, kötü amaçlı yazılım şimdi ABD ve Avrupa'dan insanları hedeflediği için bu değişti.
Strelastealer, Kasım 2023'te önemli bir artış gösteren kimlik avı kampanyaları aracılığıyla dağıtıldı, bazı günler ABD'de 250'den fazla kuruluşu hedef aldı.
Yüksek kimlik avı e -posta dağıtım hacimleri 2024'e kadar devam etti ve Ocak sonu ile Şubat 2024 arasında birim42 analistleri tarafından önemli bir faaliyet dalgası kaydedildi.
Bu dönemde bazı günlerde ABD'deki saldırılar 500'ü aşarken, Unit42, ülkede ve Avrupa'da en az 100 uzlaşmayı doğruladığını söylüyor.
Kötü amaçlı yazılım operatörleri, saldırılarını gerektiği gibi ayarlamak için İngilizce ve diğer Avrupa dillerini kullandılar.
Hedeflenen kuruluşların çoğu 'yüksek teknoloji' alanında faaliyet göstermektedir, bunu finans, hukuk hizmetleri, imalat, hükümet, kamu hizmetleri ve enerji, sigorta ve inşaat gibi sektörler izlemektedir.
Strelastealer'ın 2022'nin sonlarından itibaren orijinal enfeksiyon mekanizmaları gelişti, ancak kötü amaçlı yazılım hala birincil enfeksiyon vektörü olarak kötü amaçlı e -postalar kullanıyor.
Daha önce, 'rundll32.exe' çağırması ve kötü amaçlı yazılım yükünü yürütmek için çok dillotizm kullanan .lnk kısayolu ve bir HTML dosyası içeren .ISO dosyaları eklenmiş e -postalar.
En son enfeksiyon zinciri, kurbanın sistemine JScript dosyalarını düşürmek için zip ekleri kullanır. Yürütüldüğünde, komut dosyaları bir toplu dosya ve bir DLL'ye kod çözen baz64 kodlu bir dosya bırakır. Bu DLL, Strelastealer yükünü dağıtmak için Rundll32.exe aracılığıyla yürütülür.
Ek olarak, kötü amaçlı yazılımın en yeni sürümü, analizi karmaşıklaştırmak için ambalajında kontrol akışı gizlemesi kullanır ve PDB dizelerini statik imzalara dayanan araçlarla algılamadan kaçınmak için kaldırır.
Strelastealer'ın birincil işlevi aynı kalır: Popüler e -posta istemcilerinden e -posta giriş bilgilerini çalmak ve saldırganların komut ve kontrol (C2) sunucusuna göndermek.
Kullanıcılar, ödeme veya faturalar içerecek şekilde iddia edilen ve bilinmeyen gönderenlerden ekleri indirmekten kaçınan istenmeyen e -postalar alırken uyanıklık kullanmalıdır.
Hackerlar En Büyük Discord Bot Platformundan Kaynak Kodu
Facebook Reklamları Yeni OV3R_STEALER Şifre Çalma Kötü Yazılım
THEOON kötü amaçlı yazılım, proxy hizmeti için 72 saat içinde 6.000 asus yönlendiricisine enfekte ediyor
Yeni AsidPour Veri Silecek Linux X86 Ağ Aygıtları Hedefleri
Stopcrypt: En yaygın olarak dağıtılmış fidye yazılımı, tespitten kaçınmak için gelişir
Kaynak: Bleeping Computer