Detección Sigilosa del Strela Stealer: Malware Ratero de Información Resurge con Capacidades Mejoradas para Apuntar a Europa Central y Suroccidental
Tabla de contenidos:
Investigadores de seguridad han revelado una campaña sigilosa dirigida a usuarios en Europa Central y Suroeste con un robo de credenciales de correo electrónico . Apodado Strela, este malware evasivo se despliega a través de correos electrónicos de phishing , utilizando JavaScript ofuscado y WebDAV para eludir medidas de seguridad convencionales. Desde su aparición hace dos años, Strela Stealer ha mejorado significativamente sus capacidades maliciosas, permitiéndole pasar desapercibido mientras roba de manera encubierta datos sensibles de usuarios desprevenidos.
Detectar Ataques Sigilosos de Strela Stealer
Según IBM, el phishing continúa siendo un vector de infección predominante en 2024, representando más del 40% de los incidentes de seguridad que lo utilizan como punto de acceso inicial. Para estar al tanto de las amenazas emergentes y resistir proactivamente potenciales intrusiones, como los ataques de Strela Stealer, los profesionales de seguridad pueden confiar en la Plataforma SOC Prime para una defensa cibernética colectiva que ofrece una suite completa de productos para detección avanzada de amenazas y hunting.
En respuesta a la última campaña de Strela Stealer, la Plataforma SOC Prime ofrece un conjunto de reglas Sigma seleccionadas para identificar actividad maliciosa asociada en las primeras etapas. Presiona el botón Explorar Detecciones a continuación y profundiza inmediatamente en las reglas de detección relevantes proporcionadas por el Equipo SOC Prime y nuestro experimentado desarrollador de Threat Bounty Davut Selcuk.
Todas las detecciones van acompañadas de amplia inteligencia sobre amenazas, líneas de tiempo de ataques y metadatos adicionales. Además, todas las reglas son compatibles con más de 30 soluciones SIEM, EDR, XDR y Data Lake y se encuentran mapeadas al marco MITRE ATT&CK®.
¿Deseas contribuir a la defensa cibernética colectiva? Los profesionales de seguridad aspirantes pueden agudizar sus habilidades de ingeniería de detección y caza de amenazas al unirse al Programa de Recompensas por Amenazas. Avanza en tu carrera mientras enriqueces la experiencia colectiva de la industria y obtienes recompensas financieras por tu aportación.
Análisis de Strela Stealer
Los Laboratorios de Investigación e Inteligencia de Cyble han desvelado una campaña de phishing encubierta que apunta principalmente a Alemania y España, la cual utiliza JavaScript ofuscado y WebDAV para entregar una carga útil y robar datos sensibles de los usuarios. La carga final es una variación más avanzada y novedosa de Strela Stealer que elude medidas de seguridad mediante JavaScript ofuscado y comandos de PowerShell. Aparte del robo de credenciales, Strela Stealer recolecta amplia información del sistema, lo que permite a los atacantes realizar reconocimiento y posiblemente iniciar actividades adicionales dirigidas en los sistemas comprometidos.
Strela Stealer, que ha estado activo en el ámbito de las amenazas cibernéticas desde al menos finales de 2022, es un infostealer específicamente diseñado para extraer credenciales de cuentas de correo electrónico de clientes populares. En su reciente campaña, los adversarios han evolucionado sus tácticas empleando correos electrónicos de spear-phishing que contienen archivos ZIP que alojan código JavaScript ofuscado diseñado para ejecutarse a través de WScript. La cadena de infección comienza con una notificación de factura fraudulenta para una transacción reciente acompañada de un adjunto ZIP que contiene un archivo JavaScript armado que aprovecha sofisticadas técnicas de ofuscación. Este último ejecuta un comando PowerShell codificado en base64, que recupera el DLL malicioso final de un servidor WebDAV a través de la infame herramienta “rundll32.exe” firmada por Microsoft y frecuentemente utilizada por atacantes. Esta técnica evita que el archivo DLL malicioso se guarde en el disco, permitiéndole eludir las defensas de seguridad. El infostealer continúa su ejecución si el proceso detecta un idioma coincidente a través de la API GetKeyboardLayout, lo que apunta a los objetivos específicos relacionados con Alemania y España.
Las medidas de mitigación potenciales para minimizar el riesgo de infecciones de Strela Stealer implican hacer cumplir controles de acceso estrictos en los servidores WebDAV y restringir la ejecución de PowerShell y otros scripts en los puntos finales que no los requieran para las operaciones comerciales.
A medida que los actores de amenazas adoptan variantes más avanzadas de malware que roba información y que dependen de técnicas complejas de ofuscación y evasión de detección, es imperativo para los defensores reforzar las medidas de seguridad proactivas. Al confiar en la completa suite de productos de SOC Prime para ingeniería de detección impulsada por IA, caza automatizada de amenazas y detección avanzada de amenazas, los equipos de seguridad pueden prevenir proactivamente ataques de cualquier sofisticación mientras refuerzan la postura de ciberseguridad de la organización.
