Os ataques de malware são uma das formas mais comuns de ataques cibernéticos. Malwares, em resumo, é um programa malicioso projetado para causar danos ao seu computador ou rede. O malware vem em diferentes recursos e tamanhos. Os invasores podem modificá-lo com base em seus requisitos. Neste artigo, estamos falando especificamente sobre um malware do Outlook Credential Stealer, StrelaStealer Malware. Vamos ver o que é StrelaStealer Malware e como funciona o StrelaStealer Malware.
O que é um malware ladrão de credenciais?
Existem diferentes verdades de malware existentes ao nosso redor. Malwares que coletam credenciais de usuários legítimos e as usam para fins maliciosos, como coletar informações confidenciais e críticas, são identificados como o malware ladrão de credenciais. A maioria dos ataques de roubo de credenciais ocorre devido a senhas fracas, como senhas curtas, senhas padrão, palavras-chave, etc.
Existem basicamente três tipos de malware ladrão de credenciais.
- Malware que registra pressionamentos de tecla
- Malware que despeja dados do Windows, como hashes de senha, etc., que podem ser usados posteriormente.
- Malware que espera que o usuário insira as credenciais.
O que é o malware StrelaStealer?
O malware StrelaStealer foi observado pela primeira vez no início de novembro de 2022 pelo DCSO CyTec Blog, foi observado como parte do malspam direcionado principalmente ao público espanhol. Esse malware se espalhou por meio de um anexo ISO que visa coletar credenciais do Outlook e do Thunderbird (plataformas de e-mail populares).
Como funciona o malware StrelaStealer?
Agora vamos ver como funciona o malware StrelaStealer.
- A invasão inicial ocorre por meio de um arquivo ISO que se disfarça como um arquivo legítimo (msinfo32.exe), que será entregue por meio de um anexo de e-mail.
- O arquivo ISO contém dois arquivos, um HTML (x.html) e um arquivo LNK (Factura.lnk).
- O arquivo HTML é na verdade um arquivo poliglota (um arquivo poliglota é um arquivo que pode ter dois ou mais formatos de arquivo válidos diferentes)
- O arquivo LNK executa o poliglota ‘x.html’ inicialmente como uma DLL e depois como arquivo HTML.
- O arquivo tem como alvo a DLL do Software Licensing Client (slc.dll) e executa o carregamento lateral da biblioteca de vínculo dinâmico (DLL). Em seguida, o malware é executado.
Análise de malware:
Em uma inspeção mais aprofundada do arquivo ‘x.html’, observamos que o código html é simplesmente anexado ao arquivo DLL, portanto, os arquivos de malware StrelaStealer são arquivos DLL cujo código não é ofuscado, mas um xor cíclico com uma chave codificada é usado para criptografar as cordas.
O malware executado roubará os dados de login do Outlook e Thunderbird.
Perspectiva :
A chave de registro,
‘ HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\’ é usado para enumeração.
Isso fornecerá os valores ‘Usuário IMAP’ , ‘Servidor IMAP’ e ‘Senha IMAP’. Strelastealer usa ‘CryptUnprotectData’ para descriptografar ‘ senha IMAP’ e compartilhá-la via C2.
Thunderbird:
O strelastealer procura no diretório ‘%APPDATA%\Thunderbird\Profiles\’ por ‘logins.json’ e ‘ key4.db’ e os compartilha via C2
A comunicação para comando e controle é feita por meio de POSTs HTTP simples. O XOR usado nas strings também será usado aqui para criptografar a carga útil. De todas as amostras observadas, os servidores e C2 são todos codificados.
O formato usado para compartilhar a carga via C2 para o Outlook é
[prefix"OL"]
[Server1,User1,Password1]
[Server2,User2,Password2]
...Thunderbird:
[prefix "FF"]
[DWORDsize logins.json]
[contents of logins.json]
[contents of key4.db]
Os invasores usam um método para verificar se a transferência de dados foi bem-sucedida ou não, verificando se os dois últimos bytes da resposta são ‘kh’; caso contrário, o strelastealer tentará novamente enviar os dados após um intervalo de 1 segundo.
IOC
- fa1295c746e268a3520485e94d1cecc77e98655a6f85d42879a3aeb401e5cf15
- c8eb6efc2cd0bd10d9fdd4f644ebbebdebaff376ece9e48ff502f973fe837820
- 8b0d8651e035fcc91c39b3260c871342d1652c97b37c86f07a561828b652e907
- 879ddb21573c5941f60f43921451e420842f1b0ff5d8eccabe11d95c7b9b281e
- b7e2e4df5cddcbf6c0cda0fb212be65dea2c442e06590461bf5a13821325e337
- d8d28aa1df354c7e0798279ed3fecad8effef8c523c701faaf9b5472d22a5e28
- ac040049e0ddbcb529fb2573b6eced3cfaa6cd6061ce2e7a442f0ad67265e800
- bfc30cb876b45bc7c5e7686a41a155d791cd13309885cb6f9c05e001eca1d28a
- 6e8a3ffffd2f7a91f3f845b78dd90011feb80d30b4fe48cb174b629afa273403
- c69bac4620dcf94acdee3b5e5bcd73b88142de285eea59500261536c1513ab86
- be9f84b19f02f16b7d8a9148a68ad8728cc169668f2c59f918d019bce400d90e
- 1437a2815fdb82c7e590c1e6f4b490a7cdc7ec81a6cb014cd3ff712304e4c9a3
- 9375cff0413111d3b88a00104b2a6676
- b7e2e4df5cddcbf6c0cda0fb212be65dea2c442e06590461bf5a13821325e337
- 6e8a3ffffd2f7a91f3f845b78dd90011feb80d30b4fe48cb174b629afa273403
- d8d28aa1df354c7e0798279ed3fecad8effef8c523c701faaf9b5472d22a5e28
caminho pdb:
- C:\Users\admin\source\repos\Dll1\Release\Dll1.pdb
- “C:\Users\Serhii\Documents\Visual Studio 2008\Projects\StrelaDLLCompile\Release\StrelaDLLCompile.pdb”
Servidor C2:
- 193.106.191[.]166
- hxxp://193.106.191[.]166/servidor.php
URL ITW:
- hxxp://45.142.212[.]20/dll.dll
MITRE ATT&CK
- T1003 – Despejo de credenciais
- T1041 – Exfiltração sobre o Canal C2
- T1041 – Exfiltração no Canal de Comando e Controle
- T1059.003 – Shell de comando do Windows
- T1071 – Protocolo de Camada de Aplicação Padrão
- T1566.001 – Anexo de Spearphishing
- T1574.002 – Carregamento Lateral de DLL
- Phishing
- Ofuscação
- Roubo de credenciais
Vetores de ataque
- Phishing
- Ofuscação
- Roubo de credenciais
Dicas para proteger seus ativos do malware StrelaStealer
- Uma política de senha forte deve ser definida, a repetição de padrões de teclado, nomes etc. deve ser evitada.
- A autenticação multifator deve ser habilitada ou qualquer outro mecanismo de autenticação forte deve ser usado.
- O gerenciamento de patches nas organizações deve estar em vigor
- Mecanismo seguro de recuperação de senha deve estar em vigor
- A conscientização adequada deve ser dada a todos os funcionários
- Evite usar as mesmas senhas para várias plataformas
É da natureza humana esquecer as coisas, especialmente quando se trata de senhas, portanto, para facilitar o uso, muitos de nós tendem a usar a mesma senha repetidamente. Se um malware ladrão de credenciais colher sua credencial para ter um dano mínimo, a repetição de senhas deve ser evitada.
Devemos sempre verificar várias vezes antes de inserir informações confidenciais pela Internet. Espero que este artigo tenha ajudado a entender o que é o malware StrelaStealer e como funciona o malware StrelaStealer. Por favor, compartilhe esta postagem e ajude a proteger o mundo digital. Visite nossa página de mídia social no Facebook, LinkedIn, Twitter, Telegram, Tumblr e Medium e assine para receber atualizações como esta.
Fonte: TheSecMaster
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
