A Strela Stealer Közép- és Délnyugat-Európát veszi célba
A Cyble 2024. október 30-i posztjában elemzi a Strela Stealer lopakodó adathalászkampányát, amely Közép- és Délnyugat-Európát célozta meg, és a hasznos teher telepítéséhez és az érzékeny hitelesítő adatok ellopásához obfuszkált JavaScriptet és WebDAV-t használt. A Cyble Research and Intelligence Labs (CRIL) által nemrégiben felfedezett Strela Stealer adathalászkampányban számlaértesítésnek látszó emaillel próbálják becsapni a felhasználókat. A kampány elsősorban a közép- és délnyugat-európai régiókban élő felhasználókat célozza meg, és a helyi beállítások alapján állítja be a fókuszt, hogy maximalizálja az elérését az adott demográfiai csoportokon belül.
Az adathalász e-mailek ZIP-fájl csatolmányokat tartalmaznak, amelyek erősen obfuszkált JavaScript (.js) fájlokat tartalmaznak, amelyeket úgy terveztek, hogy elkerüljék a biztonsági eszközök észlelését. A JavaScript-fájl egy base64-kódolású PowerShell-parancsot rejt, amely végrehajtásakor közvetlenül a WebDAV-kiszolgálóról indít el egy rosszindulatú hasznos terhet anélkül, hogy a fájlt lemezre mentené. A Strela Stealer nevű hasznos teher egy obfuszkált DLL-fájlba van beágyazva, és kifejezetten a németországi és spanyolországi rendszereket célozza. A Strela Stealer úgy van programozva, hogy ellopja az érzékeny e-mail konfigurációs adatokat, például a szerveradatokat, felhasználóneveket és jelszavakat. A hitelesítő adatok ellopása mellett a Strela Stealer részletes rendszerinformációkat is gyűjt, lehetővé téve a támadók számára, hogy felderítést végezzenek, és potenciálisan további célzott akciókat indítsanak a megtámadott rendszereken.
A DCSO által először 2022 végén azonosított Strela Stealer egy olyan típusú információlopó kártevő, amelyet elsősorban arra terveztek, hogy kiszivárogtassa az e-mail fiókok hitelesítő adatait a széles körben használt e-mail kliensekből, köztük a Microsoft Outlookból és a Mozilla Thunderbirdből.
