Chiến dịch phần mềm độc hại mới nhắm vào hàng trăm doanh nghiệp Hoa Kỳ và EU – StrelaStealer quay trở lại tấn công các công ty lớn một lần nữa.
Mục tiêu:
- Đánh cắp thông tin đăng nhập email, tập trung vào Outlook và các ứng dụng tương tự.
- Các tổ chức trong ngành công nghệ cao, tài chính, dịch vụ pháp lý, sản xuất, chính phủ, tiện ích và năng lượng, bảo hiểm và xây dựng.
Kẻ tấn công:
- Gửi hàng trăm email lừa đảo mỗi ngày.
- Sử dụng phương thức lây nhiễm tệp polyglot và tệp JScript.
Thời điểm:
- Kể từ tháng 11 năm 2023, với mức tăng đột biến vào tháng 1-2 năm 2024.
Số lượng nạn nhân:
- Ít nhất 100 tổ chức trên khắp Hoa Kỳ và Châu Âu.
Lịch sử phát triển:
- StrelaStealer xuất hiện ít nhất là từ cuối năm 2022.
- Phương thức hoạt động của nó thay đổi một chút theo thời gian.
Cách thức hoạt động:
- Đính kèm một kho lưu trữ .ZIP chứa tệp JScript.
- Tệp JScript, nếu được thực thi, sẽ đánh rơi một tệp bó và tệp được mã hóa base64 giải mã thành DLL.
- DLL được thực thi thông qua rundll32.exe và triển khai trình đánh cắp thông tin chính.
Lời khuyên:
- Nâng cao cảnh giác và kiểm tra email cẩn thận.
- Sử dụng các biện pháp bảo mật mạnh mẽ để bảo vệ dữ liệu của bạn.
Kết luận:
Phần mềm độc hại StrelaStealer là một mối đe dọa nghiêm trọng đối với các tổ chức ở Hoa Kỳ và Châu Âu. Các tổ chức cần nâng cao cảnh giác và thực hiện các biện pháp bảo mật để bảo vệ dữ liệu của mình.