Detecção da Strela Stealer Furtiva: Malware de Roubo de Informações Ressurge com Capacidades Aprimoradas para Alvo na Europa Central e Sudoeste
Índice:
Pesquisadores de segurança revelaram uma campanha furtiva que visa usuários na Europa Central e Sudoeste com um ladrão de credenciais de email stealer. Intitulado Strela, este malware evasivo é implantado via phishing emails, utilizando JavaScript ofuscado e WebDAV para contornar medidas de segurança convencionais. Desde seu surgimento há dois anos, Strela Stealer aprimorou significativamente suas capacidades maliciosas, permitindo operar sob o radar enquanto rouba secretamente dados sensíveis de usuários desavisados.
Detectar Ataques Furtivos do Strela Stealer
De acordo com a IBM, o phishing continua a ser um vetor de infecção predominante em 2024, respondendo por mais de 40% dos incidentes de segurança que o utilizam como ponto de acesso inicial. Para se manter à frente de ameaças emergentes e resistir proativamente a possíveis intrusões, como os ataques Strela Stealer, os profissionais de segurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva, oferecendo um conjunto completo de produtos para detecção e caça avançada de ameaças.
Abordando a última campanha do Strela Stealer, a Plataforma SOC Prime oferece um conjunto de regras Sigma curadas para identificar atividades maliciosas associadas nos estágios mais iniciais. Clique no botão Explorar Detecções abaixo e explore imediatamente regras de detecção relevantes fornecidas pela Equipe SOC Prime e por nosso experiente desenvolvedor do Threat Bounty Davut Selcuk.
Todas as detecções são acompanhadas por uma extensa inteligência de ameaças, cronogramas de ataques e metadados adicionais. Além disso, todas as regras são compatíveis com mais de 30 soluções SIEM, EDR, XDR e Data Lake e mapeadas para a estrutura MITRE ATT&CK®.
Ansioso para contribuir para a defesa cibernética coletiva? Profissionais de segurança aspirantes podem aprimorar suas habilidades de engenharia de detecção e caça de ameaças ingressando no Programa Threat Bounty. Avance sua carreira enquanto enriquece a expertise coletiva da indústria e ganha recompensas financeiras por sua contribuição.
Análise do Strela Stealer
Cyble Research and Intelligence Labs revelaram uma campanha de phishing encoberta que visa principalmente a Alemanha e a Espanha, utilizando JavaScript ofuscado e WebDAV para entregar um payload e roubar dados sensíveis de usuários. O payload final é uma nova variação mais avançada do Strela Stealer que contorna medidas de segurança via JavaScript ofuscado e comandos PowerShell. Além do roubo de credenciais, o Strela Stealer coleta extensas informações do sistema, permitindo que os atacantes realizem reconhecimento e possivelmente iniciem atividades adicionais direcionadas nos sistemas comprometidos.
Strela Stealer, ativo no cenário de ameaças cibernéticas desde pelo menos o final de 2022, é um ladrão de informações especificamente criado para extrair credenciais de contas de email de clientes de email populares. Em sua campanha recente, os adversários evoluíram suas táticas empregando emails de spear-phishing contendo arquivos ZIP que abrigam código JavaScript ofuscado projetado para ser executado via WScript. A cadeia de infecção começa com uma notificação de fatura falsa para uma transação recente acompanhada por um anexo ZIP contendo um arquivo JavaScript armado que utiliza técnicas sofisticadas de ofuscação. Este último executa um comando PowerShell codificado em base64, que recupera o DLL malicioso final de um servidor WebDAV via o infame utilitário assinado pela Microsoft “rundll32.exe” frequentemente armado por atacantes. Essa técnica evita que o arquivo DLL malicioso seja salvo no disco, permitindo que ele contorne as defesas de segurança. O ladrão de informações continua sua execução se o processo detectar uma correspondência de idioma através da API GetKeyboardLayout, que aponta os alvos específicos do malware relacionados à Alemanha e Espanha.
Medidas de mitigação potenciais para minimizar o risco de infecções por Strela Stealer envolvem a imposição de controles de acesso rigorosos nos servidores WebDAV e a restrição da execução de PowerShell e outros scripts em endpoints que não os requeiram para operações de negócios.
À medida que atores de ameaças adotam variantes mais avançadas de malware de roubo de informações que dependem de técnicas complexas de ofuscação e evasão de detecção, é imperativo que os defensores reforcem medidas de segurança proativas. Ao confiar na completa suíte de produtos da SOC Prime para engenharia de detecção impulsionada por IA, caça automatizada de ameaças e detecção avançada de ameaças, as equipes de segurança podem impedir proativamente ataques de qualquer sofisticação enquanto reforçam a postura de cibersegurança da organização.
