近日，StrelaStealer 惡意軟件發起了大規模的攻擊行動，試圖竊取電子郵件帳戶憑據，行動波及到了美國和歐洲的一百多個組織。

2022 年 11 月，StrelaStealer 被首次披露，它是一種新型信息竊取惡意軟件，可從 Outlook 和 Thunderbird 中竊取電子郵件帳戶憑據。該惡意軟件的一個顯著特點是能夠使用多文件感染方法來逃避安全軟件的檢測。當時，StrelaStealer 主要針對西班牙語用戶。

但根據 Palo Alto Networks 的 Unit42 最近發布的一份報告顯示，StrelaStealer 擴大了其攻擊目標，現在以美國和歐洲的組織爲目標。

StrelaStealer 是通過網絡釣魚活動傳播的，據統計，去年 11 月該組織發起惡意活動的次數顯著上升，其中有多次攻擊是針對美國 250 多個組織發起的。

根據折線圖，可見釣魚郵件分發量的趨勢上升一直持續到了今年年初，Unit42 分析師在 2024 年 1 月底至 2 月初又記錄到了大規模的活動。

StrelaStealer 最新攻擊數據統計（圖源：Unit42）

在此期間，美國遭遇的攻擊次數超過了 500 次。 Unit42 表示已確認美國和歐洲至少曾發生了 100 次入侵事件。惡意軟件操作員使用英語和其他歐洲國家的語言，並根據需要調整其攻擊。

StrelaStealer 最新攻擊數據統計（圖源：Unit42）

據統計，該惡意軟件的大多數攻擊目標都鎖定了 "高科技 "領域運營，其次是金融、法律服務、制造、政府、公用事業和能源、保險和建築等行業。

攻擊目標 (圖源：Unit42)

2022年年底，StrelaStealer 的原始感染機制開始演變，但該惡意軟件仍使用惡意電子郵件作爲主要感染載體。以前，電子郵件會附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多語言調用 "rundll32.exe "並執行惡意軟件有效載荷。

最新的感染鏈則使用了 ZIP 附件將 JScript 文件植入受害者系統。執行時，腳本會投放一個批處理文件和一個解碼爲 DLL 的 base64 編碼文件。該 DLL 會再次通過 rundll32.exe 執行，以部署 StrelaStealer 有效載荷。

新舊感染鏈（圖源：Unit42）

此外，該惡意軟件的最新版本在其包裝中采用了控制流混淆技術，使分析複雜化，並刪除了 PDB 字符串，以逃避依賴靜態簽名的工具的檢測。

StrelaStealer 的主要功能保持不變：從常用的電子郵件客戶端竊取電子郵件登錄信息，並將其發送到攻擊者的指揮和控制（C2）服務器。

所以如果用戶收到聲稱涉及付款或發票的未經請求的電子郵件時應保持警惕，同時盡量避免下載來自未知發件人的附件。

參考來源：Over 100 US and EU orgs targeted in StrelaStealer malware attacks