StrelaStealer邮件凭证盗取活动影响上百家企业

关键要点

一波StrelaStealer邮件凭证窃取活动已经影响了欧洲联盟和美国超过100个组织。这些攻击通过带有附件的垃圾邮件进行，最终会启动动态链接库DLL负载。Unit 42研究人员在3月22日解释了每次新一轮的邮件活动中，威胁行为者都会更新感染链启动的邮件附件和DLL负载。攻击者这样做是为了逃避安全供应商的检测。

StrelaStealer恶意软件最早在DCSOCyTec于2022年11月8日发布的Medium博客中被记录。Unit 42的研究人员指出，2023年最后一次的大规模活动发生在去年11月，而Unit 42团队最近观察到在2024年1月底推出的新活动，目标针对欧洲和美国的多个行业。

Unit 42的研究人员指出，威胁行为者更新了恶意软件，以躲避检测。StrelaStealer的新变体现在是通过压缩的JScript进行交付，并在DLL负载中采用了更新的混淆技术。

Critical Start的威胁检测工程师Adam Neel表示，威胁行为者已不再使用带有多种文件格式的多语种文件，而是使用带有ZIP的针对性网络钓鱼，最终生成编码文件。Neel指出，StrelaStealer的新版本混淆效果更佳，因为它现在采用了控制流混淆长代码块模糊化实际执行的内容以增加逆向工程和检测的难度。

Neel表示：“我认为针对性网络钓鱼和一般网络钓鱼在很长一段时间内仍然会有效，因为只需要一个用户失误，下载不该下载的东西。”