Según una nueva investigación, más de 100 organizaciones en la UE y EE. UU. se han visto afectadas por StrelaStealer, una campaña de malware de robo de credenciales a gran escala. Los investigadores de la unidad de inteligencia de amenazas Unidad 42 de Palo Alto Networks identificaron una «ola de campañas de StrelaStealer a gran escala». impactando” a las principales organizaciones en ambas regiones luego de una campaña anterior a fines de 2023. StrelaStealer apunta a las credenciales de correo electrónico, extrayendo los datos de inicio de sesión de la cuenta de correo electrónico de la víctima y enviándolos de regreso al servidor de comando y control (C2) del atacante. Documentado por primera vez en noviembre 2022 por la empresa de seguridad cibernética DCSO CyTec, con sede en Berlín, los métodos de infección utilizados para distribuir StrelaStealer han evolucionado desde su implementación inicial. Las primeras versiones de los ataques utilizaron archivos ISO para distribuir el malware, dirigido predominantemente a víctimas de habla hispana mediante documentos señuelo. Investigación de Palo Alto descubrió que los atacantes cambiaron el formato del archivo adjunto del correo electrónico inicial de una campaña a otra para evitar la detección utilizando la firma o los patrones generados previamente. La investigación de DCSO CyTec destacó que la cadena de infección de la campaña de noviembre de 2022 se basó en la distribución de la carga útil como archivos políglotas DLL/HTML. que se tratan de manera diferente según la aplicación que se ejecuta. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2023. Por el contrario, la actual campaña StrelaStealer observada por la Unidad 42 se basa en la distribución de la carga útil a través de correos electrónicos de phishing con archivos adjuntos ZIP. Este nuevo ataque coloca archivos JScipt en el sistema de la víctima después de descargar y extraer el archivo ZIP. Este archivo JScript utiliza un archivo cifrado en base64 que, una vez decodificado, crea un archivo DLL ejecutable portátil, que implementa la carga útil cuando se ejecuta a través de rundll32.exe. La última versión de la cadena de infección presenta mejores técnicas de ofuscación por parte de los actores de amenazas que buscan ocultar la nueva ruta de ataque y evadir la detección. Esto se logró utilizando un empaquetador actualizado que emplea una técnica de ofuscación del flujo de control para obstaculizar el análisis forense por parte de los equipos de seguridad. Ambas campañas utilizaron archivos DLL como carga útil con una función de exportación maliciosa necesaria para lanzar el ataque, pero el informe de la Unidad 42 señaló que el enfoque adoptado en la última ola de ataques incorporó varias modificaciones para perjudicar el análisis. Esto incluyó el uso de bloques de código excesivamente largos que consistían en datos aritméticos. instrucciones, lo que podría provocar tiempos de espera durante los intentos de los investigadores de ejecutar las muestras en un entorno sandbox. La “alta tecnología” es un objetivo popular de StrelaStealer, con más de 500 ataques a organizaciones estadounidenses en enero. La campaña de noviembre de 2023 involucró ataques de phishing dirigidos a más de 250 organizaciones en el EE. UU. y poco menos de 100 entidades europeas, según datos de la Unidad 42. La última ola de ataques de StrelaStealer tuvo lugar en enero de 2024 y vio a los actores de amenazas lanzar más de 500 ataques contra organizaciones estadounidenses y alrededor de 100 contra empresas europeas, con otro pico al principio. de febrero se produjeron alrededor de 250 ataques dirigidos a organizaciones estadounidenses. La investigación de Palo Alto encontró que la campaña más reciente se dirigió a organizaciones de varias industrias. Sin embargo, el sector de la «alta tecnología» fue, con diferencia, el objetivo más popular de los ciberdelincuentes. Durante la campaña de enero de 2024 se lanzaron alrededor de 875 ataques basados ​​en StrelaStealer contra empresas de tecnología. Después de la alta tecnología, los sectores más frecuentemente atacados fueron el financiero, el profesional y el servicios legales y fabricación, con alrededor de 125 organizaciones en cada sector sujetas a ataques de StrelaStealer. El informe de Palo Alto proporcionó indicadores de compromiso para varios tipos de archivos utilizados en la cadena de infección, y se recomienda a las organizaciones que se aseguren de que sus empleados tengan precaución al inspeccionar cualquier archivo no solicitado. correos electrónicos que reciben.

Source link