新 StrelaStealer 网络钓鱼攻击袭击了欧盟和美国的 100 多个组织

网络安全研究人员发现了新一波网络钓鱼攻击，其目的是提供一种不断发展的信息窃取程序（称为StrelaStealer）。

Palo Alto Networks Unit 42 研究人员在发布的一份新报告中表示，这些活动影响了欧盟和美国的 100 多个组织。

研究人员 Benjamin Chang、Goutam Tripathy、Pranay Kumar Chhaparwal、Anmol Maurya 和 Vishwa Thothathri表示：“这些活动以带有附件的垃圾邮件形式出现，最终启动 StrelaStealer 的 DLL 负载。 ”

“为了逃避检测，攻击者将初始电子邮件附件文件格式从一个活动更改为下一个活动，以防止通过先前生成的签名或模式进行检测。”

StrelaStealer 于 2022 年 11 月首次披露，它能够从知名电子邮件客户端窃取电子邮件登录数据，并将其传输到攻击者控制的服务器。

此后，分别于 2023 年 11 月和 2024 年 1 月检测到两起涉及该恶意软件的大规模活动，针对欧盟和美国的高科技、金融、专业和法律、制造、政府、能源、保险和建筑行业

这些攻击还旨在提供一种新的窃取程序变体，该变体包含更好的混淆和反分析技术，同时通过带有 ZIP 附件的发票主题电子邮件进行传播，这标志着 ISO 文件的转变。

ZIP 存档中存在一个 JavaScript 文件，该文件会释放一个批处理文件，该批处理文件又会使用rundll32.exe（负责运行 32 位动态链接库的合法 Windows 组件）启动窃取程序 DLL 有效负载。

窃取者恶意软件还依赖于一系列混淆技巧，使沙盒环境中的分析变得困难。

研究人员表示：“随着每一波新的电子邮件活动，威胁行为者都会更新启动感染链的电子邮件附件和 DLL 负载本身。”

博通旗下的赛门铁克透露，在 GitHub、Mega 或 Dropbox 上托管的知名应用程序或破解软件的虚假安装程序正在充当名为 Stealc 的窃取恶意软件的渠道。

据 ESET观察，网络钓鱼活动还传播Revenge RAT和Remcos RAT（又名 Rescoms），后者通过名为AceCryptor的加密货币即服务 (CaaS) 进行传播。

该网络安全公司援引遥测数据表示：“在 [2023] 下半年，Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族。” “其中一半以上的尝试发生在波兰，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。”

2023 年下半年，AceCryptor 中打包的其他著名现成恶意软件包括 SmokeLoader、STOP 勒索软件、RanumBot、Vidar、RedLine、Tofsee、Fareit、Pitou 和 Stealc。值得注意的是，许多恶意软件菌株也通过PrivateLoader传播。

Secureworks 观察到的另一个社会工程骗局被发现是针对在搜索引擎上寻找最近​​去世的个人信息的个人，在虚假网站上托管虚假讣告，通过搜索引擎优化 (SEO) 中毒增加网站流量，最终推送广告软件和其他不需要的程序。

该公司表示：“这些网站的访问者会被重定向到电子约会或成人娱乐网站，或者立即看到验证码提示，点击后会安装网络推送通知或弹出广告。 ”

“这些通知显示来自 McAfee 和 Windows Defender 等知名防病毒应用程序的虚假病毒警报警告，即使受害者单击其中一个按钮，它们也会持续存在于浏览器中。”

“这些按钮链接到基于订阅的防病毒软件程序的合法登陆页面，超链接中嵌入的附属 ID 会奖励威胁行为者的新订阅或续订。”

虽然假冒活动目前仅限于通过防病毒软件的附属程序来充实欺诈者的金库，但攻击链可以轻松地改变用途，以传播信息窃取程序和其他恶意程序，从而使其成为更强大的威胁。

在此开发之前，还发现了一个名为Fluffy Wolf 的新活动集群，该集群利用包含可执行附件的网络钓鱼电子邮件来传播多种威胁，例如MetaStealer、Warzone RAT、XMRig miner 和名为 Remote Utilities 的合法远程桌面工具。

该活动表明，即使是不熟练的威胁行为者也可以利用恶意软件即服务 (MaaS) 计划成功进行大规模攻击并掠夺敏感信息，然后可以进一步将其货币化以获取利润。

BI.ZONE表示：“尽管这些威胁行为者的技术水平平庸，但他们仅使用两套工具即可实现其目标：合法的远程访问服务和廉价的恶意软件。”