La nuova, imponente campagna di phishing sta allertando gli esperti di cybersecurity. Politica, high-tech e finanza tra i settori più coinvolti secondo il report di Unit 42.
Infostealer noto dal 2022, gradualmente ha modificato il suo comportamento. Innalzando il livello di allerta tra gli esperti di cybersecurity. Il rimando è al malware StrelaStealer, l’agente malevolo che ha già colpito centinaia di organizzazioni sparse tra gli Usa e il vecchio continente, per ottenere l’accesso agli account email delle stesse. Ne scrive Bleeping Computer.
Un nuovo “approccio”, dicevamo. Perché stando a quanto afferma Unit 42 – threat intelligence team di Palo Alto Networks –, in principio l’infostealer si concentrava su vittime di lingua spagnola. Oggi invece ha ampliato il suo raggio d’azione, e gli operatori di malware utilizzano l’inglese e altre lingue europee per plasmare gli attacchi informatici alle proprie necessità.
Attacchi phishing in rapida diffusione
StrelaStealer viene distribuito mediante campagne di phishing che hanno registrato un aumento importante nel novembre 2023. Nell’arco di pochi giorni, sono state colpite oltre 250 organizzazioni negli Usa. Gli elevati volumi di distribuzione delle email malevole – di prassi file Iso con contenuti differenti – sono quindi proseguiti nel 2024.
Tra la fine di gennaio e l’inizio di febbraio, gli analisti di Unit 42 hanno appurato un’ondata sintomatica di attività del malware. In questo lasso di tempo, negli Stati Uniti sono stati registrati 500 cyberattacchi, mentre Unit 42 afferma di aver confermato almeno 100 utenti compromessi, anche a livello europeo. La maggior parte delle organizzazioni colpite opera nel comparto high-tech, ma sono coinvolte – loro malgrado – anche realtà di altri settori (politica, finanza, servizi professionali e legali, produzione, edilizia, energia, assicurazioni).
Come funziona il malware StrelaStealer
Nell’ultima ondata di attacchi informatici via email, i cybercriminali hanno inserito un “oggetto” ingannevole che rimanda a fantomatiche fatture o pagamenti, allegando cartelle compresse (Zip) che, una volta aperte, attivano un file JavaScript. Quest’ultimo, a sua volta, rilascia altri due file sul sistema della vittima, attraverso un comando Ddl che viene eseguito mediante lo strumento legittimo di Windows “rundll32.exe”.
Stando a quanto riferito, StrelaStealer fa leva su varie tecniche di offuscamento, rendendo ardua l’analisi in ambienti isolati. Dunque, a prescindere dalla modalità in cui operano le recenti versioni del malware, l’intento rimane il medesimo: accedere ai client di posta delle vittime, sottrarre gli accessi e inviare il tutto a un server gestito dai criminali informatici.