Home Ciberguerra Más de 100 organizaciones de EE. UU. y la UE son objeto...

Más de 100 organizaciones de EE. UU. y la UE son objeto de ataques de malware StrelaStealer

Una nueva campaña de malware StrelaStealer a gran escala ha afectado a más de cien organizaciones en Estados Unidos y Europa, intentando robar credenciales de cuentas de correo electrónico.

StrelaStealer se documentó por primera vez en noviembre de 2022 como un nuevo malware de robo de información que roba credenciales de cuentas de correo electrónico de Outlook y Thunderbird.

Una característica notable del malware fue el uso de un método de infección de archivos políglota para evadir la detección del software de seguridad.

En ese momento, se vio que StrelaStealer apuntaba principalmente a usuarios de habla hispana. Sin embargo, según un informe reciente de Unit42 de Palo Alto Networks, esto ha cambiado ya que el malware ahora se dirige a personas de EE. UU. y Europa.

StrelaStealer se distribuye a través de campañas de phishing que mostraron un aumento significativo en noviembre de 2023, y algunos días se dirigieron a más de 250 organizaciones en los EE. UU.

Los elevados volúmenes de distribución de correos electrónicos de phishing continuaron hasta 2024, y los analistas de Unit42 registraron una importante ola de actividad entre finales de enero y principios de febrero de 2024.

En algunos días durante ese período, los ataques en Estados Unidos superaron los 500, mientras que Unit42 dice haber confirmado al menos 100 ataques en el país y en Europa.

La mayoría de las entidades objetivo operan en el espacio de la “alta tecnología”, seguidas por sectores como finanzas, servicios legales, manufactura, gobierno, servicios públicos y energía, seguros y construcción.

Los mecanismos de infección originales de StrelaStealer de finales de 2022 han evolucionado, aunque el malware todavía utiliza correos electrónicos maliciosos como principal vector de infección.

Anteriormente, los correos electrónicos adjuntaban archivos .ISO que contenían un acceso directo .lnk y un archivo HTML, que utilizaba el poliglotismo para invocar ‘rundll32.exe’ y ejecutar la carga útil del malware.

La última cadena de infección utiliza archivos adjuntos ZIP para colocar archivos JScript en el sistema de la víctima. Cuando se ejecutan, los scripts sueltan un archivo por lotes y un archivo codificado en base64 que se decodifica en una DLL. Esa DLL se ejecuta nuevamente a través de rundll32.exe para implementar la carga útil de StrelaStealer.