Eine neue, raffinierte Cyberkampagne hat Mitarbeiter in Deutschland und Spanien ins Visier genommen. Im Mittelpunkt steht die gefährliche Malware Strela Stealer, die sich seit ihrer Entdeckung im Jahr 2022 erheblich weiterentwickelt hat.

Die Bedrohung im Detail
Forscher von Cyble haben diese Angriffsserie aufgedeckt, bei der die Malware gezielt Mail-Zugangsdaten stiehlt. Die neueste Version von Strela Stealer ist deutlich komplexer und geschickter darin, herkömmliche Sicherheitsmaßnahmen zu umgehen. Während sich die Kampagne derzeit auf Deutschland und Spanien konzentriert, könnte sie leicht weltweit adaptiert werden.

Der Angriff beginnt mit Phishing-Mails, die als Geschäftskommunikation getarnt sind. Ein Beispiel ist eine E-Mail auf Deutsch, die eine Rechnung simuliert und den Empfänger dazu auffordert, die Transaktion zu überprüfen. Der Anhang, eine ZIP-Datei, enthält ein stark verschleiertes JavaScript, das nach seiner Entschlüsselung einen PowerShell-Befehl ausführt. Dieser verbindet sich mit einem WebDAV-Server, um eine schädliche DLL-Datei nachzuladen.

Die Besonderheit: Die DLL wird nie auf der Festplatte gespeichert, wodurch sie von gängigen Sicherheitslösungen nicht erkannt wird.

Die Weiterentwicklung von Strela Stealer
Die aktuelle Version von Strela Stealer ist ein Paradebeispiel für die immer ausgefeilteren Methoden von Cyberkriminellen. Zu den Neuerungen gehören:

• Kontrollfluss-Verschleierung, die eine Analyse des Codes nahezu unmöglich macht.

• Keine Speicherung auf der Festplatte, wodurch forensische Untersuchungen erschwert werden.

• Starke Verschlüsselung, um gestohlene Daten sicher an Angreifer-Server zu senden.

• Täuschung durch Fehlermeldungen, die die eigentliche Aktivität verschleiern.

Das Ziel: Nutzer aus Deutschland, Spanien und dem Baskenland. Die Malware sammelt Anmeldedaten aus Mail-Clients wie Outlook und Thunderbird, sowie Systeminformationen, und sendet diese an ein Command-and-Control-Servernetzwerk.

Technische Herausforderungen
Die Analyse der schädlichen DLL erwies sich als extrem schwierig. Die Datei enthält zahlreiche bedingte Sprunganweisungen, die Debugging-Tools oft zum Absturz bringen. Cyble-Forscher berichten, dass viele Funktionen unter Standard-Debugging-Einstellungen nicht korrekt arbeiten – ein weiterer Beweis für die Raffinesse dieser Malware.

Handlungsbedarf
Die Strela-Stealer-Kampagne zeigt die zunehmende Gefahr durch gezielte Cyberangriffe. Unternehmen und Einzelpersonen müssen wachsam sein und ihre Sicherheitsmaßnahmen verstärken.

Empfehlungen von Cyble:

• Mitarbeiterschulungen zur Erkennung von Phishing-Versuchen.

• Implementierung robuster Endpunktsicherheitslösungen.

• Einschränkung der Nutzung von PowerShell und anderen Skripten auf das Nötigste.

• Strenge Zugriffskontrollen für WebDAV-Server und deren Nutzung.

Ein Weckruf für Europa und die Welt
Die Entwicklung von Strela Stealer ist nicht nur ein regionales Problem – sie unterstreicht die wachsende Raffinesse von Cyberkriminellen weltweit. Deutschland und Spanien mögen aktuell im Fokus stehen, doch es ist nur eine Frage der Zeit, bis diese Methoden global zum Einsatz kommen.

Die Verteidigung gegen Bedrohungen wie Strela Stealer erfordert Zusammenarbeit, Wachsamkeit und die Bereitschaft, Sicherheitsstrategien ständig weiterzuentwickeln.

Lesen Sie den Originalartikel hier