Strela Stealer Malware Alvo na Europa

Nota de Lionel: Durante o processo de análise final, nossa equipe do X-Labs notou que a equipe IBM X-Force recentemente publicou detalhes sobre o malware Strela Stealer. No interesse de compartilhar mais informações, decidimos comunicar os achados por meio deste post no blog.

###

No último mês, observamos um aumento significativo em um malware infostealer que esteve ativo ao longo de 2024. A campanha do malware Strela Stealer começa com um e-mail de phishing em alemão que incentiva os usuários a baixar um arquivo compactado contendo um arquivo JavaScript altamente ofuscado e grande. Após a execução, este arquivo age como um “stealer”, exfiltrando certas informações do sistema, incluindo detalhes de configuração de e-mail, nomes de usuário e senhas.

Cadeia de ataque

Em termos de escopo, veja abaixo um gráfico mostrando o volume de mensagens da campanha de e-mail Strela bloqueadas por dia:

E-mail:

O e-mail é elaborado no idioma alemão e utiliza faturas ou compras de produtos falsos como isca para incentivar os usuários a baixar o arquivo compactado.

JavaScript no arquivo compactado

Na Fig. 2 acima, o tamanho do arquivo JavaScript é de aproximadamente ~1 MB. O JavaScript possui duas técnicas para execução de código:

• Usando cmd.exe, que executa diretamente um arquivo DLL utilizando rundll32
• Usando powershell.exe, que desofusca uma string codificada em Base64 e executa um arquivo DLL utilizando rundll32

Mais detalhes sobre as técnicas de desofuscação e execução:

Técnica 1: JavaScript ofuscado e execução usando cmd.exe

Ao observar o JavaScript, identificamos duas partes principais. Uma variável atribuída a strings e uma função Function(), que inicia a execução do JavaScript

Desofuscação do JavaScript:

Substituindo strings por conteúdo reduzido, o código torna-se legível (veja Fig. 4.3 abaixo):

Substituindo as strings por seus valores, obtemos o conteúdo exato.

Técnica 2: JavaScript codificado e decodificado no PowerShell

As Fig. 4.4 e 4.7 acima mostram o código decodificado que utiliza WebDAV para executar um arquivo sem salvá-lo no disco.

O WebDAV aprimora o HTTP e permite que os usuários gerenciem e editem arquivos no servidor sem salvar as alterações na máquina local002E

O código conecta-se ao 94.159.113[.]82 usando a porta 8888 para executar o arquivo DLL usando rundll32.exe no servidor.

Análise do arquivo DLL

O arquivo DLL presente no servidor WebDAV é um DLL de 64 bits que contém uma função de exportação chamada Entry. Este DLL atua como um invólucro para o payload malicioso.

Na análise estática, descobrimos que as seções .text e .data estão compactadas e parecem conter código criptografado.

Ao verificar a seção de dados, vemos a chave de criptografia destacada abaixo:

O arquivo DLL também contém várias funções de salto, dificultando o processo de depuração. A Fig. 8 abaixo mostra essas múltiplas instruções de salto:

Ao executar o DLL até o retorno, ele segue certas operações XOR e aritméticas para descriptografar o conteúdo MZ DOS dentro do arquivo DLL:

A Fig. 10 abaixo mostra a chave de criptografia usada para descriptografar o cabeçalho MZ adicional. Essa string codificada é semelhante ao que vimos na análise estática do arquivo DLL na Fig. 7 anteriormente.

Presença de arquivo PE

Após a execução bem-sucedida, o arquivo DLL encerra exibindo uma mensagem de erro falsa (veja a Fig. 10) enquanto permanece ativo em segundo plano. Ele então executa diretamente o payload, desempacotando-o com rundll32.

Enquanto o arquivo está em execução em segundo plano, ele tenta obter configurações locais da máquina da vítima utilizando a API GetKeyboardLayout. Em seguida, verifica e compara idiomas pré-definidos, como alemão e espanhol. Se os idiomas corresponderem ao sistema da vítima, ele continua a execução, exfiltrando dados sensíveis do sistema para /server[.]php.

Conclusão:

A recente campanha do infostealer Strela é distribuída por e-mails de phishing que incentivam os usuários a baixar um arquivo infectado anexado ao e-mail. O arquivo compactado contém código JavaScript altamente ofuscado, que utiliza o servidor WebDAV para executar diretamente o arquivo DLL sem salvá-lo no disco—bypassando, assim, mecanismos de segurança e permitindo acesso não autorizado a informações sensíveis no processo.

Declaração de Proteção

• Estágio 2 (Isca): Arquivo compactado entregue em e-mails. Os e-mails são bloqueados por análises de e-mail.
• Estágio 3 (Redirecionamento): A URL do WebDAV que hospeda o arquivo DLL é categorizada e bloqueada sob classificação de segurança.
• Estágio 5 (Arquivo Dropper): Os arquivos dropper são adicionados ao banco de dados malicioso da Forcepoint e bloqueados.
• Estágio 6 (Call Home): O malware contata servidores de comando e controle (C&C) para compartilhar dados sensíveis do usuário, sendo categorizado e bloqueado sob classificação de segurança.

IOCs