Une nouvelle campagne de logiciels malveillants StrelaStealer à grande échelle a touché plus d’une centaine d’organisations aux États-Unis et en Europe, tentant de voler les informations d’identification des comptes de messagerie.

StrelaStealer a été documenté pour la première fois en novembre 2022 en tant que nouveau malware de vol d’informations qui vole les informations d’identification des comptes de messagerie d’Outlook et Thunderbird.

Une caractéristique notable du malware était l’utilisation d’une méthode d’infection de fichier polyglotte pour échapper à la détection des logiciels de sécurité.

À l’époque, StrelaStealer ciblait principalement les utilisateurs hispanophones. Cependant, selon un récent rapport de Unit42 de Palo Alto Networks, cela a changé car le malware cible désormais les personnes des États-Unis et d’Europe.

StrelaStealer est distribué par le biais de campagnes de phishing qui ont montré une légère augmentation significative en novembre 2023, ciblant certains jours plus de 250 organisations aux États-Unis.

Les volumes élevés de distribution d’e-mails de phishing se sont poursuivis en 2024, avec une vague importante d’activité enregistrée par les analystes d’Unit42 entre fin janvier et début février 2024.

StrelaStealer derniers volumes de distribution

Certains jours au cours de cette période, les attaques aux États-Unis ont dépassé les 500, tandis que l’Unité 42 dit avoir confirmé au moins 100 compromis dans le pays ainsi qu’en Europe.

Les opérateurs de logiciels malveillants utilisaient l’anglais et d’autres langues européennes pour ajuster leurs attaques au besoin.

E-mail sur le thème de la facture rédigé en allemand

Les entités les plus ciblées opèrent dans le domaine de la « haute technologie », suivies par des secteurs tels que la finance, les services juridiques, la fabrication, le gouvernement, les services publics et l’énergie, les assurances et la construction.

Secteurs ciblés

Nouvelle méthode d’injection
Les mécanismes d’infection originaux de StrelaStealer à partir de la fin de 2022 ont évolué, bien que le logiciel malveillant utilise toujours des courriels malveillants comme vecteur d’infection principal.

Auparavant, les courriels étaient joints .Fichiers ISO contenant un .raccourci lnk et un fichier HTML, qui utilisait le polyglotisme pour invoquer ‘ rundll32.exe ‘ et exécutez la charge utile du malware.

La dernière chaîne d’infection utilise des pièces jointes ZIP pour déposer des fichiers JScript sur le système de la victime. Une fois exécutés, les scripts déposent un fichier batch et un fichier codé en base64 qui décode dans une DLL. Cette DLL est exécutée via rundll32.exe à nouveau pour déployer la charge utile StrelaStealer.

Anciennes et nouvelles chaînes d’infection

De plus, la dernière version du logiciel malveillant utilise l’obscurcissement du flux de contrôle dans son emballage pour compliquer l’analyse et supprime les chaînes PDB pour échapper à la détection par les outils reposant sur des signatures statiques.

La fonction principale de StrelaStealer reste la même: voler les informations de connexion par e-mail des clients de messagerie populaires et les envoyer au serveur de commande et de contrôle (C2) des attaquants.

Les utilisateurs doivent faire preuve de vigilance lorsqu’ils reçoivent des courriels non sollicités qui prétendent impliquer des paiements ou des factures et s’abstenir de télécharger des pièces jointes provenant d’expéditeurs inconnus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *