Stealthy Strela-Stealer-Erkennung: Informationsdiebstahl-Malware taucht mit erweiterten Fähigkeiten erneut auf und zielt auf Mittel- und Südwesteuropa ab

Inhaltsverzeichnis:
Sicherheitsforscher haben eine heimliche Kampagne enthüllt, die Benutzer in Mittel- und Südwesteuropa mit einem E-Mail-Anmeldeinformationen Stealer. Getauft Strela, wird diese ausweichende Malware über Phishing- E-Mails verbreitet, die verschleiertes JavaScript und WebDAV verwenden, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Seit seinem Auftauchen vor zwei Jahren hat Strela Stealer seine bösartigen Fähigkeiten erheblich verbessert, sodass es unter dem Radar fliegen kann, während es heimlich sensible Daten von ahnungslosen Benutzern stiehlt.
Erkennung von heimlichen Strela-Stealer-Angriffen
Laut IBM bleibt Phishing auch 2024 ein vorherrschender Infektionsvektor und ist für über 40% der Sicherheitsvorfälle verantwortlich, bei denen es als initialer Zugangspunkt genutzt wird. Um sich über aufkommende Bedrohungen auf dem Laufenden zu halten und potenziellen Einbrüchen, wie Strela-Stealer-Angriffen, proaktiv standzuhalten, können Sicherheitsexperten auf die SOC Prime Plattform für kollektive Cyberabwehr vertrauen, die eine komplette Produktpalette für fortschrittliche Bedrohungserkennung und -jagd bietet.
Anlässlich der neuesten Strela-Stealer-Kampagne bietet die SOC Prime Plattform eine Reihe kuratierter Sigma-Regeln, um damit verbundene bösartige Aktivitäten frühzeitig zu identifizieren. Drücken Sie den Erkennung durchsuchen Button unten und gehen Sie sofort zu den relevanten Erkennungsregeln, die vom SOC Prime Team und unserem erfahrenen Threat Bounty Entwickler Davut Selcukbereitgestellt werden.
Alle Erkennungen werden von umfangreicher Bedrohungsintelligenz, Angriffstimetables und zusätzlichen Metadaten begleitet. Darüber hinaus sind alle Regeln mit über 30 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und mit dem MITRE ATT&CK®-Framework.
abgebildet. Möchten Sie zur kollektiven Cyberabwehr beitragen? Aufstrebende Sicherheitsexperten können ihre Fähigkeiten in der Erkennungstechnik & Bedrohungsjagd schärfen, indem sie dem crowdsourced Threat Bounty Programbeitreten. Entwickeln Sie Ihre Karriere weiter, während Sie das kollektive Branchenwissen bereichern und finanzielle Belohnungen für Ihren Beitrag erhalten.
Strela Stealer Analyse
Cyble Research and Intelligence Labs haben eine verdeckte Phishing-Kampagne aufgedeckt, die hauptsächlich auf Deutschland und Spanien abzielt und obfuskierte JavaScript- und WebDAV-Techniken nutzt, um eine Nutzlast zu liefern und sensible Benutzerdaten zu stehlen. Die endgültige Nutzlast ist eine neuartige, weiterentwickelte Variante von Strela Stealer, die Sicherheitsmaßnahmen durch verschleiertes JavaScript und PowerShell-Befehle umgeht. Neben dem Anmeldeinformationsdiebstahl sammelt Strela Stealer umfangreiche Systeminformationen, die Angreifern ermöglichen, Aufklärung durchzuführen und möglicherweise weitere gezielte Aktivitäten auf den kompromittierten Systemen zu initiieren.
Strela Stealer, der seit mindestens Ende 2022 in der Cyber-Bedrohungslandschaft aktiv ist, ist ein Infostealer, der speziell entwickelt wurde, um E-Mail-Kontozugangsdaten von gängigen E-Mail-Clients zu extrahieren. In ihrer jüngsten Kampagne haben die Angreifer ihre Taktiken weiterentwickelt, indem sie Spear-Phishing-E-Mails verwendet haben, die ZIP-Dateien enthalten, in denen verschleierter JavaScript-Code enthalten ist, der über WScript ausgeführt wird. Die Infektionskette beginnt mit einer betrügerischen Rechnungsbenachrichtigung für eine kürzliche Transaktion, begleitet von einem ZIP-Anhang, der eine bewaffnete JavaScript-Datei enthält, die ausgeklügelte Verschleierungstechniken verwendet. Letztere führt einen base64-codierten PowerShell-Befehl aus, der die endgültige bösartige DLL von einem WebDAV-Server über das berüchtigte von Microsoft signierte Dienstprogramm “rundll32.exe” abruft, das häufig von Angreifern eingesetzt wird. Diese Technik verhindert, dass die bösartige DLL-Datei auf der Festplatte gespeichert wird, sodass sie Sicherheitsverteidigungen umgeht. Der Infostealer wird weiterhin ausgeführt, wenn der Prozess über die GetKeyboardLayout API einen Sprachabgleich feststellt, der auf die spezifischen Malware-Ziele in Bezug auf Deutschland und Spanien hinweist.
Potenzielle Abhilfemaßnahmen zur Minimierung des Risikos von Strela Stealer-Infektionen umfassen die Durchsetzung strikter Zugriffskontrollen auf WebDAV-Servern und die Beschränkung der Ausführung von PowerShell und anderen Skripten auf Endpunkten, die sie nicht für betriebliche Zwecke benötigen.
Da Bedrohungsakteure fortgeschrittenere Varianten von Informationsdiebstahl-Malware anwenden, die auf komplizierten Verschleierungs- und Erkennungsvermeidungstechniken basieren, ist es für Verteidiger unerlässlich, proaktive Sicherheitsmaßnahmen zu verstärken. Indem sie sich auf das vollständige Produktsortiment von SOC Prime für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung verlassen, können Sicherheitsteams Angriffe jeglicher Raffinesse proaktiv abwenden, während sie die Cybersicherheitslage der Organisation stärken.