近日，StrelaStealer 恶意软件发起了大规模的攻击行动，试图窃取电子邮件帐户凭据，行动波及到了美国和欧洲的一百多个组织。

2022 年 11 月，StrelaStealer 被首次披露，它是一种新型信息窃取恶意软件，可从 Outlook 和 Thunderbird 中窃取电子邮件帐户凭据。该恶意软件的一个显著特点是能够使用多文件感染方法来逃避安全软件的检测。当时，StrelaStealer 主要针对西班牙语用户。

但根据 Palo Alto Networks 的 Unit42 最近发布的一份报告显示，StrelaStealer 扩大了其攻击目标，现在以美国和欧洲的组织为目标。

StrelaStealer 是通过网络钓鱼活动传播的，据统计，去年 11 月该组织发起恶意活动的次数显著上升，其中有多次攻击是针对美国 250 多个组织发起的。

根据折线图，可见钓鱼邮件分发量的趋势上升一直持续到了今年年初，Unit42 分析师在 2024 年 1 月底至 2 月初又记录到了大规模的活动。

StrelaStealer 最新攻击数据统计（图源：Unit42）

在此期间，美国遭遇的攻击次数超过了 500 次。 Unit42 表示已确认美国和欧洲至少曾发生了 100 次入侵事件。恶意软件操作员使用英语和其他欧洲国家的语言，并根据需要调整其攻击。

用德语书写的发票主题电子邮件 (图源：Unit42)

据统计，该恶意软件的大多数攻击目标都锁定了 "高科技 "领域运营，其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。

攻击目标 (图源：Unit42)

新的感染方式

2022年年底，StrelaStealer 的原始感染机制开始演变，但该恶意软件仍使用恶意电子邮件作为主要感染载体。以前，电子邮件会附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多语言调用 "rundll32.exe "并执行恶意软件有效载荷。

最新的感染链则使用了 ZIP 附件将 JScript 文件植入受害者系统。执行时，脚本会投放一个批处理文件和一个解码为 DLL 的 base64 编码文件。该 DLL 会再次通过 rundll32.exe 执行，以部署 StrelaStealer 有效载荷。

新旧感染链（图源：Unit42）

此外，该恶意软件的最新版本在其包装中采用了控制流混淆技术，使分析复杂化，并删除了 PDB 字符串，以逃避依赖静态签名的工具的检测。

StrelaStealer 的主要功能保持不变：从常用的电子邮件客户端窃取电子邮件登录信息，并将其发送到攻击者的指挥和控制（C2）服务器。

所以如果用户收到声称涉及付款或发票的未经请求的电子邮件时应保持警惕，同时尽量避免下载来自未知发件人的附件。