Nowa fala ataków phishingowych
Firma Palo Alto Networks opublikowała ostatnio raport, w którym ostrzega, że pojawiła się nowa kampania ataków phishingowych na szeroką skalę. Celem są organizacje ze Stanów Zjednoczonych i Unii Europejskiej. Cyberataki te skupiają się na wysyłce wiadomości ze złośliwymi załącznikami. Te po otworzeniu uruchamiają bibliotekę DLL StrelaStealer – oprogramowania służącego do kradzieży informacji. Cyberprzestępcy zmieniają format pliku załącznika, aby uniknąć wykrycia na podstawie wcześniejszych wzorców.
StrelaStealer – groźne oprogramowanie cyberprzestępców
StrelaStealer, odkryty po raz pierwszy w listopadzie 2022 r., jest wyposażony w funkcję przesyłania danych logowania do poczty e-mail od znanych klientów i eksfiltracji ich na kontrolowany przez atakującego serwer.
Od tego czasu zaobserwowano 2 zakrojone na szeroką skalę kampanie cyberprzestępcze z udziałem tego złośliwego oprogramowania. Skupiały się one na atakowaniu branż takie jak zaawansowane technologie, finanse, usługi prawne, produkcja, organizacje rządowe, przedsiębiorstwa energetyczne, ubezpieczeniowe i budowlane.
Nowy wariant StrelaStealer
Zarówno osoby zajmujące się cyberbezpieczeństwem, jak i cyberprzestępcy stale doskonalą swoje metody. Nic zatem dziwnego, że pojawił się nowy wariant StrelaStealera. Ten jest zdecydowanie trudniejszy do wykrycia. Cyberataki odbywają się teraz głównie właśnie za pośrednictwem wiadomości ohishingowych.
Cyberprzestępcy wysyłają w nich rzekome faktury i załączniki ZIP. Dotychczas częściej przy StrelaStealerze korzystali z plików o rozszerzeniu.ISO.
W archiwach ZIP zawarte są pliki JavaScript, które uruchamiają plik wsadowy. Ten z kolei inicjuje bibliotekę DLL za pomocą legalnego komponentu systemu Windows. Złośliwe oprogramowanie wykorzystuje również metody, które utrudniają analizę.
Oprócz StrelaStealer eksperci ds. cyberbezpieczeństwa zauważyli również inne szkodliwe oprogramowania, takie jak Stealc, Revenge RAT i Remcos RAT, dostarczane za pośrednictwem różnych kanałów – w tym programów partnerskich i usług CaaS.
Eksperci podkreślają, że w kampanii tej często biorą udział „niedzielni cyberprzestępcy”, którzy wykorzystują schematy złośliwego oprogramowania jako usługi (tzw. MaaS, czyli Malware as a Service). Tym samym mogą przeprowadzać skuteczne cyberataki na szeroką skalę.
