ΑρχικήΔιαδίκτυοΚακόβουλο λογισμικό αποφεύγει τη μόλυνση ρωσικών συστημάτων

Κακόβουλο λογισμικό αποφεύγει τη μόλυνση ρωσικών συστημάτων

Το κακόβουλο λογισμικό Strelastealer εξάγει δεδομένα πρόσβασης από Outlook και Thunderbird. Στόχος είναι χρήστες από τη Γερμανία και τρεις άλλες χώρες της ΕΕ, αλλά όχι από τη Ρωσία.

Ερευνητές ασφαλείας από την Sonicwall παρατήρησαν πρόσφατα μια ραγδαία αύξηση των μολύνσεων από το γνωστό κακόβουλο λογισμικό κλοπής πληροφοριών Strelastealer. Σύμφωνα με τους ερευνητές η μέθοδος μόλυνσης δεν φαίνεται να διαφέρει από αυτήν προηγούμενων επιθέσεων με το κακόβουλο λογισμικό. Ωστόσο, οι επιτιθέμενοι έχουν πλέον προσθέσει μια επιταγή για να αποφύγουν τη μόλυνση ρωσικών συστημάτων.

Οι περιοχές στόχοι της εκστρατείας επιθέσεων που παρατήρησε η Sonicwall περιορίζονται στις χώρες της Ευρωπαϊκής Ένωσης, όπως Πολωνία, Ισπανία, Ιταλία και Γερμανία. Φαίνεται ότι οι επιτιθέμενοι στοχεύουν σε διαπιστευτήρια σύνδεσης από τα προγράμματα ηλεκτρονικού ταχυδρομείου Outlook και Thunderbird. Το λειτουργικό σύστημα που στοχοθετείται μέσω αυτόν τον επιθέσεων είναι τα Windows.

Σύμφωνα με τους ερευνητές, οι επιθέσεις ξεκινούν με email που περιέχουν αρχεία με συμπιεσμένα δεδομένα με ένα κρυπτογραφημένο script τύπου Javascript. Μετά την εκτέλεση τους, ελέγχεται πρώτα η γλώσσα του συστήματος για να διαπιστωθεί η χώρα προέλευσης του χρήστη.

Τα ρωσικά συστήματα παραμένουν άθικτα

Εάν εντοπιστεί ρωσική γλώσσα, η μόλυνση διακόπτεται. Διαφορετικά, το Strelastealer εγκαθίσταται μέσω ενός αρχείου DLL με “ένα καμουφλαρισμένο κώδικα”.

Για να προσδιορίσουν την προέλευση του συστήματος-στόχου, το κακόβουλο λογισμικό ελέγχει τη γλώσσα του πληκτρολογίου που έχει επιλεγεί μέσω ενός API με την ονομασία GetKeyboardLayout. Σύμφωνα με την Sonicwall, πραγματοποιείται αντιστοίχιση με πολλούς κώδικες γλώσσας που χρησιμοποιούνται συνήθως σε ισπανικά, πολωνικά, ιταλικά και γερμανικά συστήματα.

Στη συνέχεια, στο φάκελο Appdata των χρηστών και στο μητρώο των Windows αναζητούνται προφίλ χρηστών για Thunderbird και Outlook. Τα δεδομένα που εντοπίζονται αποστέλλονται σε ένα σύστημα που ελέγχεται από τους επιτιθέμενους.

Το Strelastealer δραστηριοποιείται τουλάχιστον από το τέλος του 2022

Οι ερευνητές δεν εξήγησαν πως ακριβώς οι επιτιθέμενοι πείθουν τα θύματα τους να ανοίξουν το συμπιεσμένο αρχείο που περιέχεται στα email και να ξεκινήσουν την επίθεση μόλυνσης. Είναι πιθανό να χρησιμοποιούνται τεχνικές κοινωνικής μηχανικής, ενδεχομένως σε συνδυασμό με πληροφορίες που έχουν αποκτηθεί μέσω διαρροών δεδομένων ή άλλων στοιχείων επαφής με το εκάστοτε θύμα.

Στις αρχές του Απριλίου, οι ερευνητές της Sonicwall δημοσίευσαν μια εκτενή έκθεση για το Strelastealer, στην οποία εξήγησαν περισσότερες τεχνικές λεπτομέρειες σχετικά με το κακόβουλο λογισμικό. Οι πρώτες επιθέσεις με το συγκεκριμένο malware παρατηρήθηκαν τον Νοέμβριο του 2022.

Στέλιος Θεοδωρίδης
Στέλιος Θεοδωρίδης
Ο ήρωας μου είναι ο γάτος μου ο Τσάρλι και ακροάζομαι μόνο Psychedelic Trance
RELATED ARTICLES

Πρόσφατα άρθρα

Tηλέφωνα έκτακτης ανάγκης

Δίωξη Ηλεκτρονικού Εγκλήματος: 11188
Ελληνική Αστυνομία: 100
Χαμόγελο του Παιδιού: 210 3306140
Πυροσβεστική Υπηρεσία: 199
ΕΚΑΒ 166