119/67 (IT) ประจำวันพุธที่ 27 มีนาคม 2567
พบแคมเปญขนาดใหญ่เพื่อแพร่กระจายมัลแวร์ StrelaStealer ตัวใหม่ ส่งผลกระทบต่อองค์กรกว่าร้อยแห่งทั่วสหรัฐอเมริกาและสหภาพยุโรป โดยพยายามที่จะขโมยข้อมูลรับรองบัญชีอีเมล ซึ่งมัลแวร์ StrelaStealer ได้รับการบันทึกเป็นครั้งแรกเมื่อเดือนพฤศจิกายน 2022 ว่าเป็นมัลแวร์ขโมยข้อมูลตัวใหม่ที่สามารถขโมยข้อมูลรับรองบัญชีอีเมลจาก Outlook และ hunderbird ซึ่งลักษณะเด่นประการหนึ่งของมัลแวร์ คือการใช้วิธีการติดไวรัสไฟล์หลายภาษาเพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย โดยเวลานั้น StrelaStealer มีเป้าหมายที่จะโจมตีกลุ่มผู้ที่ใช้ภาษาสเปนเป็นส่วนใหญ่ แต่อย่างไรก็ตาม ตามรายงานล่าสุดโดย Unit42 ของ Palo Alto Networks พบว่าการใช้มัลแวร์ได้เปลี่ยนเป้าหมายไปโจมตีผู้คนที่อยู่ในสหรัฐอเมริกาและยุโรปแล้ว โดย StrelaStealer เผยแพร่ผ่านแคมเปญฟิชชิ่งที่มีการเพิ่มขึ้นอย่างมากในเดือนพฤศจิกายน 2023 โดยบางวันกำหนดเป้าหมายไปที่องค์กรมากกว่า 250 แห่งในสหรัฐอเมริกา ปริมาณการเผยแพร่อีเมลฟิชชิ่งที่เพิ่มขึ้นอย่างต่อเนื่องจนถึงปี 2024 โดยมีนักวิเคราะห์ของ Unit42 บันทึกกิจกรรมจำนวนมากระหว่างปลายเดือนมกราคมถึงต้นเดือนกุมภาพันธ์ 2024 ในบางวันของช่วงเวลา มีการโจมตีมากกว่า 500 ครั้งในสหรัฐอเมริกา และ Unit42 ยืนยันว่ามีการโจมตีอย่างน้อย100 ครั้ง ในสหรัฐอเมริกาและยุโรป
รูปแบบการโจมตี โดยกลไกการติดไวรัสดั้งเดิมของ StrelaStealer ตั้งแต่ปลายปี 2022 ได้รับการพัฒนาแล้ว แม้ว่ามัลแวร์จะยังคงใช้การส่งอีเมลที่เป็นอันตรายเป็นพาหะการติดไวรัสหลักก็ตาม แต่ก่อนหน้านี้ อีเมลที่แนบไฟล์ .ISO ที่มีทางลัด .lnk และไฟล์ HTML ซึ่งใช้หลายภาษาเพื่อเรียกใช้ ‘rundll32.exe’ และดำเนินการเพย์โหลดของมัลแวร์ ห่วงโซ่การติดไวรัสล่าสุดใช้ไฟล์แนบ ZIP เพื่อวางไฟล์ JScript บนระบบของเหยื่อ เมื่อดำเนินการ สคริปต์จะปล่อยแบตช์ไฟล์และไฟล์ที่เข้ารหัส base64 ซึ่งจะถอดรหัสเป็น DLL และ DLL นั้นถูกดำเนินการผ่าน rundll32.exe อีกครั้งเพื่อปรับใช้เพย์โหลด StrelaStealer นอกจากนี้ มัลแวร์เวอร์ชันใหม่ล่าสุด ยังใช้การควบคุมเพื่อทำให้การวิเคราะห์ซับซ้อนขึ้น และลบสตริง PDB เพื่อหลบเลี่ยงการตรวจจับโดยเครื่องมือที่ใช้ลายเซ็นแบบคงที่ แต่ฟังก์ชันหลักของ StrelaStealer ยังคงเหมือนเดิม นั่นคือการขโมยข้อมูลการเข้าสู่ระบบอีเมลจากไคลเอนต์อีเมลที่มีผู้ใช้งานจำนวนมาก และส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของผู้โจมตี ดังนั้น ผู้ใช้งานควรระมัดระวังเมื่อได้รับอีเมลที่ไม่พึงประสงค์ และอ้างว่าเกี่ยวข้องกับการชำระเงินหรือใบแจ้งหนี้ และควรหลีกเลี่ยงการดาวน์โหลดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก
