bencede
New member
StrealStealer, Unit 42'den Palo Alto araştırmacılarının yakın zamanda kötü amaçlı yazılım kampanyalarında keşfettiği kötü amaçlı yazılımın adıdır. Yüzlerce ABD ve Avrupa kuruluşu siber suçluların hedefi oldu.
Duyuru
Bu tür spam e-postalar, kurbanları kötü amaçlı yazılım çalıştırmaları için kandırmayı amaçlamaktadır.
(Resim: Palo Alto / Ünite 42)
Palo Alto'nun Birim 42'sinden siber araştırmacıların yaptığı açıklamada, kötü amaçlı yazılımın ilk olarak 2022'de ortaya çıktığı belirtiliyor. O zamandan bu yana, arkasındaki beyinler birkaç büyük e-posta dağıtım kampanyası başlattı ve yavaşlayacak gibi görünmüyorlar. Yakın zamanda Avrupa ve Amerika Birleşik Devletleri'nde 100'den fazla kuruluşu hedef alan ve mağdurları StrealStealer kötü amaçlı yazılım DLL'sini çalıştırmaları için kandırmaya çalışan e-posta kampanyaları düzenlendi.
StrelaStealer: Tespitten kaçmaya çalışır
Saldırganlar, her e-posta kampanyası arasında, önceden oluşturulmuş imzaların tespit edilmesini önlemek için e-posta eklerinin dosya formatlarını değiştirdi. Ayrıca, siber araştırmacılar yazmaya devam ediyor; suçlular, kötü amaçlı kodu daha iyi gizlemek ve tarama karşıtı hileler uygulamak için sıklıkla DLL'yi kötü amaçlı kodla güncelliyor.
Son büyük saldırı dalgası geçen Kasım ayında gerçekleşti ve Birim 42, Ocak sonu ve Şubat başında yeni saldırılar keşfetti. Kampanyalarda yerelleştirilmiş e-postalar kullanılıyor, konular faturalar, factura, fatura#### ve dikkat çekmeyi amaçlayan benzer terimler etrafında dönüyor. Ekteki dosyada böyle bir fatura bulunmalıdır.
Bu e-postaların büyük çoğunluğu “ileri teknoloji” sektöründeki şirketlere gitti ve bunu finans, hukuk ve imalat sektörleri takip etti. Devlet kurumları ve otoritelerinin yanı sıra enerji ve sigorta sektörleri ise daha geridedir.
StrelaStealer kötü amaçlı yazılımı
Saldırganlar başlangıçta bir .lnk dosyası ve bir .html dosyası içeren .iso dosyalarını kullandılar. .lnk dosyasına çift tıklandığında HTML dosyası çalıştırılır ve rundll32.exe Kötü amaçlı yazılımı indirmek için. Mevcut varyantlarda e-posta eki olarak bir ZIP dosyası bulunur. Bu bir JScript dosyası içerir. Bu dosya çalıştırıldığında Base64 kodlu bir dosya ve bir toplu iş dosyası oluşturur. Base64 şifreli dosya, dosyayı kullanarak kötü amaçlı yazılımların şifresini çözer certutil -f decodeDışa aktarılan işlev tarafından kullanılan bir DLL dosyası oluşturan komut hello ile rundll32.exe o başladı.
Bilgisayar araştırmacıları ayrıca kötü amaçlı yazılımın daha fazla şifrelenmesini daha ayrıntılı olarak açıklıyor. Yazarlar, StrelaStealer'ın ana görevinin, kötü amaçlı yazılımın suçlu zihinlerin komuta ve kontrol sunucularına gönderdiği bilinen e-posta programlarından e-posta oturum açma verilerini ayıklamak olduğunu açıklıyor. Birim 42'deki BT araştırmacıları, analizlerinde, veri sahiplerinin sistemlerine StrelaStealer bulaşıp bulaşmadığını kontrol etmek için kullanabileceği risk göstergelerini (IOC) listeliyor.
(Bilmiyorum)
Haberin Sonu
Duyuru
Bu tür spam e-postalar, kurbanları kötü amaçlı yazılım çalıştırmaları için kandırmayı amaçlamaktadır.
(Resim: Palo Alto / Ünite 42)
Palo Alto'nun Birim 42'sinden siber araştırmacıların yaptığı açıklamada, kötü amaçlı yazılımın ilk olarak 2022'de ortaya çıktığı belirtiliyor. O zamandan bu yana, arkasındaki beyinler birkaç büyük e-posta dağıtım kampanyası başlattı ve yavaşlayacak gibi görünmüyorlar. Yakın zamanda Avrupa ve Amerika Birleşik Devletleri'nde 100'den fazla kuruluşu hedef alan ve mağdurları StrealStealer kötü amaçlı yazılım DLL'sini çalıştırmaları için kandırmaya çalışan e-posta kampanyaları düzenlendi.
StrelaStealer: Tespitten kaçmaya çalışır
Saldırganlar, her e-posta kampanyası arasında, önceden oluşturulmuş imzaların tespit edilmesini önlemek için e-posta eklerinin dosya formatlarını değiştirdi. Ayrıca, siber araştırmacılar yazmaya devam ediyor; suçlular, kötü amaçlı kodu daha iyi gizlemek ve tarama karşıtı hileler uygulamak için sıklıkla DLL'yi kötü amaçlı kodla güncelliyor.
Son büyük saldırı dalgası geçen Kasım ayında gerçekleşti ve Birim 42, Ocak sonu ve Şubat başında yeni saldırılar keşfetti. Kampanyalarda yerelleştirilmiş e-postalar kullanılıyor, konular faturalar, factura, fatura#### ve dikkat çekmeyi amaçlayan benzer terimler etrafında dönüyor. Ekteki dosyada böyle bir fatura bulunmalıdır.
Bu e-postaların büyük çoğunluğu “ileri teknoloji” sektöründeki şirketlere gitti ve bunu finans, hukuk ve imalat sektörleri takip etti. Devlet kurumları ve otoritelerinin yanı sıra enerji ve sigorta sektörleri ise daha geridedir.
StrelaStealer kötü amaçlı yazılımı
Saldırganlar başlangıçta bir .lnk dosyası ve bir .html dosyası içeren .iso dosyalarını kullandılar. .lnk dosyasına çift tıklandığında HTML dosyası çalıştırılır ve rundll32.exe Kötü amaçlı yazılımı indirmek için. Mevcut varyantlarda e-posta eki olarak bir ZIP dosyası bulunur. Bu bir JScript dosyası içerir. Bu dosya çalıştırıldığında Base64 kodlu bir dosya ve bir toplu iş dosyası oluşturur. Base64 şifreli dosya, dosyayı kullanarak kötü amaçlı yazılımların şifresini çözer certutil -f decodeDışa aktarılan işlev tarafından kullanılan bir DLL dosyası oluşturan komut hello ile rundll32.exe o başladı.
Bilgisayar araştırmacıları ayrıca kötü amaçlı yazılımın daha fazla şifrelenmesini daha ayrıntılı olarak açıklıyor. Yazarlar, StrelaStealer'ın ana görevinin, kötü amaçlı yazılımın suçlu zihinlerin komuta ve kontrol sunucularına gönderdiği bilinen e-posta programlarından e-posta oturum açma verilerini ayıklamak olduğunu açıklıyor. Birim 42'deki BT araştırmacıları, analizlerinde, veri sahiplerinin sistemlerine StrelaStealer bulaşıp bulaşmadığını kontrol etmek için kullanabileceği risk göstergelerini (IOC) listeliyor.
(Bilmiyorum)
Haberin Sonu