Malware Strela Stealer apuntando a Europa

Nota de Lionel: Mientras nuestro equipo X-Labs estaba en el proceso de análisis final, notamos que el equipo de IBM X-Force publicó recientemente detalles sobre el malware Strela Stealer. Con la intención de compartir más información, pensamos que valía la pena comunicarlo aquí a través de una publicación en el blog.

###

En el último mes, hemos visto un aumento pronunciado de un malware tipo infostealer que ha estado activo durante 2024. La campaña de malware Strela Stealer comienza con un correo electrónico de phishing en alemán que insta a los usuarios a descargar un archivo comprimido que contiene un archivo JavaScript grande y altamente ofuscado. Al ejecutarse, este archivo actúa como un ladrón que exfiltra cierta información del sistema, incluidos detalles de configuración del correo electrónico, nombres de usuario y contraseñas.

Cadena de ataque:

El correo electrónico está redactado en alemán y utiliza facturas o compras falsas de productos como señuelo para alentar a los usuarios a descargar el archivo comprimido.

Correo electrónico:

The email is crafted in German language that uses either an invoice or fake product purchases as a lure to encourage users to download the archive file.

JavaScript en el archivo comprimido

En la Figura 2 anterior, el tamaño del archivo JavaScript es de aproximadamente ~1MB. El JavaScript utiliza dos técnicas para ejecutar el código:

• Usando cmd.exe para ejecutar directamente un archivo dll mediante rundll32.
• Usando powershell.exe, des ofuscando una cadena codificada en base64 y ejecutando un archivo dll mediante rundll32.

Aquí hay más detalles sobre cómo funcionan las técnicas de des ofuscación y ejecución:

Técnica 1: JavaScript ofuscado y ejecución mediante cmd.exe

Al observar el JavaScript, vemos que tiene dos partes. Una es una variable asignada a cadenas, y la otra es una función Function() desde la cual comienza la ejecución del JavaScript:

Desofuscación del JavaScript:

Al reemplazar cadenas con contenido reducido, ahora podemos ver el código en un formato legible (ver Figura 4.3 a continuación):

Al reemplazar cadenas con sus valores, obtenemos el contenido exacto.

Técnica 2: PowerShell codificado y decodificado en JavaScript

Las Figuras 4.4 y 4.7 anteriores muestran un código decodificado que utiliza WebDAV para ejecutar un archivo sin guardarlo en disco.

WebDAV (Web Distributed Authoring and Versioning) amplía HTTP y permite a los usuarios gestionar y editar archivos en un servidor sin guardar los cambios en la máquina local.

El código se conecta a 94.159.113[.]82 usando el puerto 8888 para ejecutar el archivo dll utilizando rundll32.exe en el servidor.

Análisis del archivo DLL

El archivo dll presente en el servidor WebDAV es un archivo dll de 64 bits que contiene una función de exportación llamada Entry. Este dll actúa como un contenedor para la carga útil del malware.

En el análisis estático, encontramos que las secciones .text y .data están empaquetadas, lo que parece contener código cifrado.

Al revisar la sección de datos, observamos la clave de cifrado destacada a continuación:

El archivo dll también contiene numerosas funciones de salto, lo que dificulta el proceso de depuración. La Figura 8 muestra estas múltiples instrucciones de salto:

Al ejecutar el archivo dll hasta el retorno, este sigue ciertas operaciones XOR y aritméticas para descifrar el contenido MZ DOS dentro del archivo dll:

La Figura 10 muestra la clave de cifrado que se utiliza para descifrar el encabezado MZ adicional. Esta cadena codificada es similar a lo que observamos en el análisis estático del archivo dll en la Figura 7.

Presencia de archivo PE

Tras la ejecución exitosa, el archivo dll finaliza mostrando un mensaje de error falso (ver Figura 10), mientras permanece activo en segundo plano. A continuación, ejecuta directamente la carga útil, desempaquetándola utilizando rundll32.

Mientras el archivo está activo en segundo plano, intenta obtener configuraciones locales de la máquina de la víctima utilizando la API GetKeyboardLayout. Luego, verifica y compara idiomas codificados como alemán y español. Si los idiomas coinciden con el sistema de la víctima, continúa la ejecución, exfiltrando datos sensibles del sistema a /server[.]php.

Conclusión:

La reciente campaña de Strela infostealer se distribuye mediante correos electrónicos de phishing que instan a los usuarios a descargar un archivo infectado adjunto al correo. El archivo comprimido contiene un código JavaScript altamente ofuscado que utiliza un servidor WebDAV para ejecutar directamente el archivo dll sin guardarlo en el disco, lo que permite eludir los mecanismos de seguridad y habilitar el acceso no autorizado a información sensible durante el proceso.

Declaración de Protección

• Fase 2 (Engaño) – Distribuido mediante un archivo comprimido incrustado en un correo electrónico. Los correos electrónicos son bloqueados por los sistemas de análisis de correo.
• Fase 3 (Redirección) – La URL de WebDAV que aloja el archivo dll se clasifica y bloquea bajo criterios de seguridad.
• Fase 5 (Archivo Dropper) - Los archivos dropper se añaden a la base de datos de amenazas de Forcepoint y se bloquean.
• Fase 6 (Comunicación con el Servidor) - El malware contacta con servidores de comando y control (C&C) para compartir datos sensibles del usuario; estos servidores se categorizan y bloquean bajo criterios de seguridad.

IOCs