TTL OSINT

24.06.2024 77 2 мин.

Возрождение StrelaStealer: Отслеживание кражи учетных данных на основе JavaScript, нацеленной на Европу

Команда исследователей угроз Capture Labs из SonicWall отслеживает возрождение вредоносной программы StrelaStealer, которая специально нацелена на учетные данные электронной почты Outlook и Thunderbird. Цепочка заражения обычно включает в себя запутанный JavaScript-файл, отправляемый жертве по электронной почте, который удаляет самокопирующуюся копию и запускает bat-файл для проверки языка операционной системы. В зависимости от языка, PE-файл в кодировке base64 удаляется, декодируется, и библиотека DLL со случайными именами запускается с использованием regsvr32.exe. Библиотека DLL загрузчика расшифровывает фактический PE-файл и вводит его в текущий процесс. Злоумышленник проверяет раскладку клавиатуры и несколько языковых кодов, чтобы определить географическое местоположение системы. Основная функция кражи предназначена для почтового клиента Mozilla Thunderbird, который отправляет украденные данные на IP-адрес. Регионами-мишенями вредоносного ПО являются Польша, Испания, Италия и Германия, за исключением России. Список пользователей и более подробную информацию о StrelaStealer можно найти в оригинальной статье.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.sonicwall.com/en-us/2024/06/strelastealer-resurgence-tracking-a-javascript-driven-credential-stealer-targeting-europe/

Выборочные показатели Compromise:

• 00e7bdaa8ff895b3b82a0b9cc8ba1971d6401e9cf575ec44a5bc3adc6bfd0771
• b36fee8895bd828a42a166488b4a2574a232726d89153e3e37fe4382020f7800
• http://45.9.74.176/
• f2afca709e2973f2733887e401c903580e1ffe4d4ae6d7ea28cc5a6149ba4b96
• a4cd72aea29e992fcdf808370f3a7c9333458535b86c9a11a1fff20299f837e6

Источник: TTL OSINT