2024年のStrelaStealer

StrelaStealerは、2022年から観測されてきているインフォスティーラー型マルウェアです。
たびたび攻撃キャンペーンが展開されてきているマルウェアです。
近いところでは、2023年11月にキャンペーンがありましたし、2024年1月にもキャンペーンがありました。
大きな意味での作戦に変更は見られませんが、マルウェアの展開の方式は変化してきています。

従来のStrelaStealerはこういう感じです。

• メールが到着する
  始まりはメールです。
  メールには添付ファイルがあります。

   

• 添付ファイルを開く
  添付ファイルは、isoファイルです。
  isoファイルは、よく利用される光ディスク用アーカイブファイルの形式です。
  複数のファイルをまとめて配布する際によく利用されます。

   

• マルウェアを展開する
  isoのなかのLNKファイルを開きます。
  LNKファイルが実行の開始点になっています。
  実行されたLNKファイルがHTMLを実行します。
  HTMLがrundll32.exeを呼び出し、PE形式のDLLとして実装されたStrelaStealerペイロードを実行します。

次に、新しく観測されているStrelaStealerは、こういう感じです。

• メールが到着する
  こちらも、始まりはメールです。
  そして、やはり、そのメールには添付ファイルがあります。

   

• 添付ファイルを開く
  添付ファイルは、ZIPファイルです。
  ZIPファイルは、よく利用されるアーカイブファイルの形式です。
  複数のファイルをまとめて配布する際によく利用されます。

   

• マルウェアを展開する
  ZIPファイルのなかのJScriptファイルを開きます。
  ここが開始点です。
  JScriptはBase64でエンコードされたファイルとバッチファイルをドロップします。
  エンコードされたファイルをデコードすると、PE形式のDLLが出来上がります。
  そして、rundll32.exeを呼び出し、StrelaStealerペイロードを実行します。

他にもいくつかの点が変化していることが確認されています。
従来DLLバイナリの中に含まれていたデバッグ文字列がストリップされていますので、なんのマルウェアなのかの判定が実施しにくくなっています。
またパッカーが更新されていて、難読化が施されています。

技術的にみると、細かな点は多く変更されていることが分かります。
しかし、全体を見ると大きな流れは変わっていません。
戦術は変化しているけれども、戦略は変わっていないという感じでしょうか。
StrelaStealerは電子メール用のクレデンシャルスティーラーです。

このマルウェアキャンペーンは、メールで始まりますが、そのメールは複数の言語で展開されています。
そして、メールは支払いや請求書を装ったメールとして到着します。
これは実際には正規のメールではなく迷惑メールです。しかし、うまく開きたくなるような工夫が施されています。
添付ファイルやURLを含むメールを受信した場合には警戒し、添付ファイルのダウンロードやURLのクリックには注意する必要があります。

参考記事（外部リンク）：2024 年初めの大規模 StrelaStealer キャンペーン
unit42.paloaltonetworks.jp/strelastealer-campaign/