Serangan Phishing StrelaStealer Baru Menerjang Lebih dari 100 Organisasi di UE dan AS
Peneliti keamanan siber telah mendeteksi gelombang baru serangan phishing yang bertujuan untuk mengirimkan pencuri informasi yang terus berkembang yang disebut StrelaStealer .
Kampanye ini berdampak pada lebih dari 100 organisasi di UE dan AS, kata peneliti Unit 42 Jaringan Palo Alto dalam laporan baru yang diterbitkan hari ini.
“Kampanye ini datang dalam bentuk email spam dengan lampiran yang pada akhirnya meluncurkan muatan DLL StrelaStealer,” kata peneliti Benjamin Chang, Goutam Tripathy, Pranay Kumar Chhaparwal, Anmol Maurya, dan Vishwa Thothathri .
“Dalam upaya menghindari deteksi, penyerang mengubah format file lampiran email awal dari satu kampanye ke kampanye berikutnya, untuk mencegah deteksi dari tanda tangan atau pola yang dibuat sebelumnya.”
Pertama kali diungkapkan pada November 2022, StrelaStealer dilengkapi untuk menyedot data login email dari klien email terkenal dan mengekstraknya ke server yang dikendalikan penyerang.
Sejak itu, dua kampanye skala besar yang melibatkan malware telah terdeteksi pada November 2023 dan Januari 2024 yang menargetkan sektor teknologi tinggi, keuangan, profesional dan hukum, manufaktur, pemerintah, energi, asuransi, dan konstruksi di UE dan AS dan AS
Serangan-serangan ini juga bertujuan untuk menghadirkan varian baru dari pencuri yang mengemas teknik kebingungan dan anti-analisis yang lebih baik, sekaligus disebarkan melalui email bertema faktur yang memuat lampiran ZIP, menandai pergeseran dari file ISO.
Hadir dalam arsip ZIP adalah file JavaScript yang menjatuhkan file batch, yang, pada gilirannya, meluncurkan muatan DLL pencuri menggunakan rundll32.exe , komponen Windows sah yang bertanggung jawab untuk menjalankan pustaka tautan dinamis 32-bit.
Malware pencuri ini juga mengandalkan serangkaian trik yang membingungkan untuk membuat analisis menjadi sulit di lingkungan sandbox.
“Dengan setiap gelombang baru kampanye email, pelaku ancaman memperbarui lampiran email, yang memulai rantai infeksi, dan muatan DLL itu sendiri,” kata para peneliti.
Pengungkapan ini terjadi ketika Symantec milik Broadcom mengungkapkan bahwa penginstal palsu untuk aplikasi terkenal atau perangkat lunak retak yang dihosting di GitHub, Mega atau Dropbox berfungsi sebagai saluran bagi malware pencuri yang dikenal sebagai Stealc .
Kampanye phishing juga terlihat mengirimkan Revenge RAT dan Remcos RAT (alias Rescoms), yang terakhir dikirimkan melalui cryptors-as-a-service (CaaS) yang disebut AceCryptor , menurut ESET.
“Selama paruh kedua tahun 2023, Rescoms menjadi keluarga malware paling umum yang dikemas oleh AceCryptor,” kata perusahaan keamanan siber tersebut, mengutip data telemetri. “Lebih dari separuh upaya ini terjadi di Polandia, diikuti oleh Serbia, Spanyol, Bulgaria, dan Slovakia.”
Malware siap pakai lainnya yang dikemas dalam AceCryptor pada paruh kedua tahun 2023 termasuk SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou, dan Stealc. Perlu dicatat bahwa banyak dari jenis malware ini juga telah disebarluaskan melalui PrivateLoader .
Penipuan rekayasa sosial lain yang diamati oleh Secureworks ditemukan menargetkan individu yang mencari informasi tentang individu yang baru saja meninggal di mesin pencari dengan pemberitahuan berita kematian palsu yang dihosting di situs web palsu, mengarahkan lalu lintas ke situs tersebut melalui keracunan optimasi mesin pencari (SEO) untuk akhirnya mendorong adware dan program lain yang tidak diinginkan.
“Pengunjung situs-situs ini diarahkan ke situs-situs kencan elektronik atau hiburan dewasa atau langsung disajikan dengan perintah CAPTCHA yang memasang pemberitahuan push web atau iklan pop-up ketika diklik,” kata perusahaan itu .
“Pemberitahuan tersebut menampilkan peringatan peringatan virus palsu dari aplikasi antivirus terkenal seperti McAfee dan Windows Defender, dan peringatan tersebut tetap ada di browser meskipun korban mengklik salah satu tombol.”
“Tombol-tombol tersebut tertaut ke halaman arahan yang sah untuk program perangkat lunak antivirus berbasis langganan, dan ID afiliasi yang tertanam di hyperlink memberi penghargaan kepada pelaku ancaman untuk langganan baru atau pembaruan.”
Meskipun upaya pemalsuan saat ini terbatas pada pengisian kas penipu melalui program afiliasi untuk perangkat lunak antivirus, rantai serangan dapat dengan mudah digunakan untuk memberikan pencuri informasi dan program jahat lainnya, sehingga menjadikannya ancaman yang lebih kuat.
Perkembangan ini juga mengikuti penemuan cluster aktivitas baru yang dilacak sebagai Fluffy Wolf yang memanfaatkan email phishing yang berisi lampiran yang dapat dieksekusi untuk mengirimkan serangkaian ancaman, seperti MetaStealer , Warzone RAT , penambang XMRig, dan alat desktop jarak jauh sah yang disebut Remote Utilities.
Kampanye ini merupakan tanda bahwa pelaku ancaman yang tidak memiliki keahlian sekalipun dapat memanfaatkan skema malware-as-a-service (MaaS) untuk melakukan serangan yang berhasil dalam skala besar dan menjarah informasi sensitif, yang kemudian dapat dimonetisasi lebih lanjut untuk mendapatkan keuntungan.
“Meskipun keterampilan teknisnya biasa-biasa saja, para pelaku ancaman ini mencapai tujuan mereka hanya dengan menggunakan dua perangkat: layanan akses jarak jauh yang sah dan malware yang murah,” kata BI.ZONE .