Mais de 100 empresas dos EUA e Europa foram alvo do StrelaStealer

A cadeia de infecção mais recente do StrelaStealer usa anexos ZIP para colocar arquivos JScript no sistema da vítima. Quando executados, os scripts descartam um arquivo em lote e um arquivo codificado em base64 que é decodificado em uma DLL. Essa DLL é executada via rundll32.exe novamente para implantar a carga útil do StrelaStealer.

Além disso, a versão mais recente do malware emprega ofuscação de fluxo de controle em sua embalagem para complicar a análise e remove strings PDB para evitar a detecção por ferramentas que dependem de assinaturas estáticas.

Para ter acesso ao relatório completo da Unit 42 da Palo Alto Networks (em inglês) clique aqui.

Créditos: CISO Advisor