StrelaStealer, nueva familia de InfoStealer

Streastealer es una nueva familia de infostealer detectada desde inicios de Noviembre de 2022 y que está específicamente dirigida al robo de información vinculada con aplicaciones de correo electrónico como Outlook y Thunderbid de  víctimas de habla hispana, actúa mediante la propagación de archivos ISO o mediante archivos específicamente diseñados, los cuales a través de la técnica de esteganografía pueden ser interpretados como extensiones [.]dll o [.]html a la vez.

También le puede interesar:

• Campaña de phishing infecta con Malware IceXLoader a dispositivos domésticos y corporativos
• Todo lo que necesitas saber de Infostealers

De acuerdo a las muestras analizadas por el equipo de DCSO CyTec, los cuales realizaron este hallazgo, describen que se han detectado dos variantes de este malware; sin embargo, ambas han sido distribuidas mediante documentos adjuntos en correos phishing simulando ser una factura.

1. La primera muestra corresponde a un archivo ISO que ejecuta el archivo msinfo32[.] para desplegar el malware mediante secuestro de DLL.
2. La segunda muestra corresponde a la distribución de un archivo ISO pero que en vez de contener un archivo[.]exe, carga un documento con extension [.]lnk y otro con extensión [.]html (poliglota), el cual puede ser ejecutado, efectivamente como [.]html o como [.]dll debido a que en su código coexisten ambos documentos unidos muy probablemente mediante esteganografía.

En base a los antecedentes anteriores el método de ejecución que más ha llamado  la atención de los investigadores debido a lo llamativo de su técnica de evasión, corresponde a la técnica mediante archivo políglota, debido a que el archivo [.]html descargado, se ejecuta dos veces en el sistema.

Ilustración 1: Cadena de ejecucion de Strelastealer

• La primera vez que se ejecuta, es efectivamente como un html que ofrece a la víctima un documento que simula ser una factura.
• La segunda vez que se ejecuta, lo hace en segundo plano como si fuese un archivo [.]dll, que termina por cargar el malware StrelaStealer.

Ilustración 2. Detalle de ejecucion de archivo Poliglota (dll y html)

Una vez se ha completado la ejecución del malware, este  se dirige principalmente a buscar los archivos vinculados a Outlook y Thunderbird de forma que se centra en lograr accesos de correo pero no se limita solo a ellos; ya que, también roba información de contraseñas guardadas en navegadores, aplicaciones o servicios tal como se ha abordado en otros boletines vinculados a Infostealer. 

• Para Thunderbird el malware busca el archivo logins[.]json y la base de datos key4[.]db en la ruta 

• Para Outlook, el malware enumera la clave del registro de la aplicación en busca de los parámetros IMAP User, IMAP Server e IMAP Password en la ruta
  

Luego de esto, el malware descifra las contraseñas mediante la herramienta CryptUnprotectData.

Obtenida la información relevante, el malware procede a enviar la documentación hacia sus servidores de command and control

• T1003: Credential Dumping 
• T1041: Exfiltration Over C2 Channel
• T1041: Exfiltration Over Command and Control Channel
• T1059.003: Windows Command Shell
• T1071: Standard Application Layer Protocol
• T1566.001: Spearphishing Attachment
• T1574.002: DLL Side-Loading

Apreciación 

En un mundo cada vez más inmerso en la tecnología y en donde la gente deposita confianza y datos sensibles en sus dispositivos tecnológicos cada vez en mayor medida, este poco a poco resulta ser un High Target Value de mayor envergadura, en donde se puede encontrar informacion y documentacion de todo tipo, más aún si está compuesto de campañas dirigidas a organizaciones específicas, es por esto que la proliferación de nuevas familias de malware dedicadas a este rubro parece no cesar, al igual que la renovación de sus técnicas; puesto que, la capacidad de monetización resulta alta, ya sea mediante ataques propios o mediante un trabajo en conjunto con otros actores de amenazas.

Por otra parte es necesario destacar que la propagación de este tipo de malware sigue principalmente bajo las mismas técnicas de adquisición, que consta de troyanos pero varía su distribución, sin embargo, ya sea mediante phishing o mediante el ofrecimiento de software crackeado o pirateado, el principal vector de entradas es mediante la ingeniería social, por lo que es de suma importancia mantener a los colaboradores constantemente concientizados y educados sobre el actuar de estas amenazas y cómo prevenir dichos ataques.

Boletines que te podrían interesar:

1.- Campaña de phishing infecta con Malware IceXLoader a dispositivos domésticos y corporativos

2.- Backdoor Maggie dirigido a Servidores MS SQL a nivel global

3.- Nueva variante multiplataforma de Malware Chaos

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.