Strela Stealer to złośliwe oprogramowanie, które zyskuje na znaczeniu w świecie cyberprzestępczości, wykradając dane uwierzytelniające z popularnych klientów poczty elektronicznej, takich jak Mozilla Thunderbird i Microsoft Outlook. Jego działalność koncentruje się na wybranych europejskich krajach, co czyni go szczególnie niebezpiecznym dla użytkowników korzystających z tych aplikacji.
Historia i rozwój Strela Stealera
Pierwsze informacje o Strela Stealerze pojawiły się w 2022 roku, kiedy to cyberprzestępcy zaczęli rozsyłać złośliwe oprogramowanie za pomocą kampanii phishingowych. Główne cele to użytkownicy z Hiszpanii, Włoch, Niemiec i Ukrainy. Dlaczego akurat te kraje? Odpowiedź jest prosta – maksymalizacja zysków. W Europie znacznie więcej osób korzysta z klientów poczty, co zwiększa szanse na wykradzenie wartościowych danych.
Strategie dystrybucji
- Phishing – najpierw stosowane były proste wiadomości phishingowe.
- Zaawansowane operacje – z czasem przestępcy zaczęli wykorzystywać zhakowane konta e-mail w kolejnych atakach.
Analiza techniczna Strela Stealera
Na blogu Trustwave opublikowano szczegółową analizę najnowszej wersji Strela Stealera, wykorzystującego kampanię phishingową z początku 2024 roku. Badacze otrzymali próbkę infostealera z wiadomości e-mail, która imitowała fakturę za zamówiony produkt, zachęcając odbiorcę do otwarcia archiwum ZIP.
Fazy działania malware
Działanie Strela Stealera można podzielić na trzy kluczowe fazy:
- Po otwarciu archiwum ZIP, ofiara uruchamia skrypt JScript, który jest ukryty za zestawem zmiennych.
- Skrypt uruchamia bibliotekę DLL, która jest zaciemniona i nie zawiera klasycznych odwołań do funkcji systemowych.
- Malware przydziela pamięć, odszyfrowuje końcowy ładunek i zaczyna kradzież danych.
Techniki unikania wykrycia
Strela Stealer stosuje szereg zaawansowanych technik, aby uniknąć wykrycia. Wykorzystuje m.in.:
- Dynamiczne wyszukiwanie funkcji w pamięci, omijając tradycyjne metody wykrywania.
- Wielokrotne zaciemnianie kodu oraz dodawanie „śmieciowego” kodu.
- Wykorzystanie PEB (Process Environment Block) do działania w ukryciu.
Zbieranie danych
Po potwierdzeniu ustawień regionalnych, Strela Stealer przystępuje do kradzieży informacji z profili Mozilla Thunderbird i Microsoft Outlook. Zawartość plików takich jak key4.db i logins.json jest szyfrowana i wysyłana do serwera C2.
Jak się chronić?
Aby uchronić się przed Strela Stealerem, warto przestrzegać kilku zasad:
- Nie otwieraj podejrzanych wiadomości i plików z nieznanych źródeł.
- Zmień domyślną aplikację dla plików JavaScript na Notatnik, co zapobiegnie ich automatycznemu wykonywaniu.
- Monitoruj procesy uruchamiane przez rundll32.exe.
Strela Stealer to przykład złośliwego oprogramowania, które nieustannie ewoluuje i dostosowuje się do metod obronnych. Edukacja na temat phishingu i technik socjotechnicznych jest kluczowa w walce z tego rodzaju zagrożeniami.