Rilevamento del Furtivo Strela Stealer: il Malware Ruba-Informazioni Riappare con Capacità Potenziate per Colpire l’Europa Centrale e Sudoccidentale
Indice:
I ricercatori di sicurezza hanno rivelato una campagna furtiva che prende di mira gli utenti dell’Europa centrale e sud-occidentale con un furto di credenziali email denominato. Denominato Strela, questo malware elusivo viene distribuito tramite phishing email, utilizzando JavaScript offuscato e WebDAV per eludere le misure di sicurezza convenzionali. Dalla sua comparsa due anni fa, Strela Stealer ha notevolmente migliorato le sue capacità dannose, permettendogli di passare inosservato mentre ruba segretamente dati sensibili da utenti ignari.
Rilevare attacchi furtivi di Strela Stealer
Secondo IBM, il phishing continua ad essere un vettore di infezione predominante nel 2024, rappresentando oltre il 40% degli incidenti di sicurezza che lo utilizza come punto di accesso iniziale. Per rimanere al passo con le minacce emergenti e resistere proattivamente a potenziali intrusioni, come gli attacchi di Strela Stealer, i professionisti della sicurezza possono fare affidamento su Platform SOC Prime per una difesa informatica collettiva che offre un set completo di prodotti per la rilevazione avanzata delle minacce e il threat hunting.
Affrontando la più recente campagna Strela Stealer, la SOC Prime Platform offre un insieme di regole Sigma curate per identificare l’attività malevola associata nelle fasi iniziali. Premi il pulsante Esplora Rilevamenti qui sotto e approfondisci immediatamente le regole di rilevamento pertinenti fornite dal Team SOC Prime e dal nostro esperto sviluppatore Threat Bounty Davut Selcuk.
Tutti i rilevamenti sono accompagnati da un’intelligence sulle minacce estesa, cronologie degli attacchi e metadati aggiuntivi. Inoltre, tutte le regole sono compatibili con oltre 30 soluzioni SIEM, EDR, XDR e Data Lake e sono mappate al framework MITRE ATT&CK®.
Desideri contribuire alla difesa informatica collettiva? I professionisti della sicurezza in erba possono affinare le loro competenze in ingegneria di rilevamento e threat hunting partecipando al Programma Threat Bounty. Avanza nella tua carriera mentre arricchisci le competenze collettive del settore e guadagni ricompense finanziarie per il tuo contributo.
Analisi di Strela Stealer
Cyble Research and Intelligence Labs hanno svelato una campagna di phishing nascosta che prende di mira principalmente Germania e Spagna, sfruttando JavaScript offuscato e WebDAV per consegnare un payload e rubare dati utente sensibili. Il payload finale è una nuova variante più avanzata di Strela Stealer che bypassa le misure di sicurezza tramite JavaScript offuscato e comandi PowerShell. Oltre al furto di credenziali, Strela Stealer raccoglie ampie informazioni di sistema, permettendo agli attaccanti di eseguire ricognizioni e possibilmente avviare ulteriori attività mirate sui sistemi compromessi.
Strela Stealer, attivo nel campo delle minacce informatiche almeno dalla fine del 2022, è un infostealer specificamente progettato per estrarre credenziali di account email da client di posta elettronica popolari. Nella loro recente campagna, gli avversari hanno evoluto le loro tattiche impiegando email di spear-phishing contenenti file ZIP che ospitano codice JavaScript offuscato progettato per essere eseguito tramite WScript. La catena di infezione inizia con una notifica di fattura fraudolenta per una transazione recente accompagnata da un allegato ZIP contenente un file JavaScript weaponized che sfrutta tecniche di offuscamento sofisticate. Quest’ultimo esegue un comando PowerShell codificato in base64, che recupera il DLL malevolo finale da un server WebDAV tramite l’utility Microsoft firmata “rundll32.exe” spesso armata dagli attaccanti. Questa tecnica impedisce che il file DLL malevolo venga salvato sul disco, consentendo di eludere le difese di sicurezza. L’infostealer continua l’esecuzione se il processo rileva una corrispondenza linguistica tramite l’API GetKeyboardLayout, che punta agli obiettivi malware specifici relativi a Germania e Spagna.
Le potenziali misure di mitigazione per minimizzare il rischio di infezioni da Strela Stealer implicano l’applicazione di controlli di accesso rigidi sui server WebDAV e la restrizione dell’esecuzione di PowerShell e altri script sugli endpoint che non li richiedono per le operazioni aziendali.
Man mano che gli attori delle minacce adottano varianti più avanzate di malware per il furto di informazioni che si affidano a tecniche intricate di offuscamento e evasione del rilevamento, è imperativo per i difensori rafforzare le misure di sicurezza proattive. Affidandosi al completo pacchetto di prodotti di SOC Prime per l’ingegneria di rilevamento potenziata dall’intelligenza artificiale, il threat hunting automatizzato e la rilevazione avanzata delle minacce, i team di sicurezza possono prevenire proattivamente gli attacchi di qualsiasi sofisticazione mentre rafforzano la postura di cybersecurity dell’organizzazione.
