Détection discrète du Strela Stealer : Un programme malveillant de vol d’informations refait surface avec des capacités améliorées pour cibler l’Europe centrale et du sud-ouest
Table des matières :
Les chercheurs en sécurité ont révélé une campagne furtive visant les utilisateurs d’Europe centrale et du sud-ouest avec un vol d’informations d’identifiants d’email . Nommé Strela, ce malware d’évasion est déployé viades emails de phishing , utilisant du JavaScript obscurci et WebDAV pour contourner les mesures de sécurité conventionnelles. Depuis son apparition il y a deux ans, Strela Stealer a considérablement amélioré ses capacités malveillantes, lui permettant de passer inaperçu tout en volant secrètement des données sensibles des utilisateurs non méfiants.
Détecter les Attaques Furtives de Strela Stealer
Selon IBM, le phishing continue d’être un vecteur d’infection prédominant en 2024, représentant plus de 40 % des incidents de sécurité qui l’utilisent comme point d’accès initial. Pour rester au fait des menaces émergentes et résister de manière proactive aux intrusions potentielles, telles que les attaques de Strela Stealer, les professionnels de la sécurité peuvent se fier à la plateforme SOC Prime pour une défense cybernétique collective offrant une suite complète de produits pour la détection avancée des menaces et la chasse.
Face à la dernière campagne Strela Stealer, la plateforme SOC Prime propose un ensemble de règles Sigma sélectionnées pour identifier les activités malveillantes associées aux premiers stades. Cliquez sur le bouton Explorer les Détections ci-dessous et explorez immédiatement les règles de détection pertinentes fournies par l’équipe SOC Prime et notre développeur expérimenté du programme Threat Bounty Davut Selcuk.
Toutes les détections sont accompagnées d’une vaste intelligence sur les menaces, de chronologies d’attaques et de métadonnées supplémentaires. De plus, toutes les règles sont compatibles avec plus de 30 solutions SIEM, EDR, XDR et Data Lake et mappées au cadre MITRE ATT&CK®.
Enthousiaste à l’idée de contribuer à la défense cybernétique collective ? Les professionnels de la sécurité en devenir peuvent aiguiser leurs compétences en ingénierie de détection et en chasse aux menaces en rejoignant le programme Threat Bounty. Faites progresser votre carrière tout en enrichissant l’expertise collective de l’industrie et en gagnant des récompenses financières pour votre contribution.
Analyse de Strela Stealer
Les Cyble Research and Intelligence Labs ont révélé une campagne de phishing furtive ciblant principalement l’Allemagne et l’Espagne, qui tire parti de JavaScript obscurci et WebDAV pour livrer une charge utile et voler des données utilisateur sensibles. La charge utile finale est une nouvelle variation plus avancée de Strela Stealer qui contourne les mesures de sécurité via des commandes JavaScript et PowerShell obscurcies. En plus du vol d’identifiants, Strela Stealer collecte des informations système étendues, permettant aux attaquants d’effectuer des reconnaissances et éventuellement d’initier des activités ciblées supplémentaires sur les systèmes compromis.
Strela Stealer, actif sur la scène des menaces cybernétiques depuis au moins la fin 2022, est un logiciel de vol d’informations spécifiquement conçu pour extraire les identifiants de comptes email des clients email populaires. Dans leur récente campagne, les adversaires ont fait évoluer leurs tactiques en utilisant des emails de spear-phishing contenant des fichiers ZIP abritant du code JavaScript obscurci conçu pour s’exécuter via WScript. La chaîne d’infection débute par une notification de facture frauduleuse pour une transaction récente accompagnée d’une pièce jointe ZIP contenant un fichier JavaScript armé utilisant des techniques sophistiquées d’obscurcissement. Ce dernier exécute une commande PowerShell encodée en base64, qui récupère la DLL malveillante finale depuis un serveur WebDAV via l’utilitaire signé par Microsoft « rundll32.exe » régulièrement utilisé à des fins malveillantes par les attaquants. Cette technique empêche le fichier DLL malveillant d’être enregistré sur le disque, lui permettant de contourner les défenses de sécurité. Le logiciel de vol d’informations poursuit son exécution si le processus détecte une correspondance de langue via l’API GetKeyboardLayout, indiquant les cibles spécifiques du malware liées à l’Allemagne et à l’Espagne.
Les mesures d’atténuation potentielles pour minimiser le risque d’infections par Strela Stealer impliquent l’application de contrôles d’accès stricts sur les serveurs WebDAV et la restriction de l’exécution de PowerShell et d’autres scripts sur les points de terminaison qui n’en ont pas besoin pour les opérations commerciales.
Alors que les acteurs de la menace adoptent des variantes plus avancées de logiciels malveillants de vol d’informations qui s’appuient sur une obfuscation complexe et des techniques d’évasion de détection, il est impératif que les défenseurs renforcent les mesures de sécurité proactives. En s’appuyant sur la suite complète de produits de SOC Prime pour l’ingénierie de la détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces, les équipes de sécurité peuvent contrecarrer de manière proactive les attaques de toute sophistication tout en renforçant la posture de cybersécurité de l’organisation.
