Angriffe auf Deutschland: Malware meidet Infektion russischer Systeme
Sicherheitsforscher von Sonicwall haben kürzlich eine starke Zunahme von Infektionen mit der bekannten Infostealer-Malware Strelastealer beobachtet. Dabei scheint sich die Infektionskette nach Angaben der Forscher(öffnet im neuen Fenster) nicht von jener früherer Angriffe mit der Schadsoftware zu unterscheiden. Jedoch haben die Angreifer den Experten zufolge inzwischen eine Prüfung hinzugefügt, um die Infektion russischer Systeme zu vermeiden.
Die Zielregionen der von Sonicwall beobachteten Angriffskampagne beschränken sich auf die EU-Länder Polen, Spanien, Italien und Deutschland. Dabei scheinen es die Angreifer auf Anmeldeinformationen aus den E-Mail-Programmen Outlook und Thunderbird abgesehen zu haben. Als Betriebssystem wird Windows anvisiert.
Die Angriffe beginnen den Forschern zufolge mit E-Mails, in denen Archivdateien mit einer verschleierten Javascript-Datei enthalten sind. Nach deren Ausführung wird zunächst die Systemsprache geprüft.
Russische Systeme bleiben verschont
Im Falle eines russischen Sprachcodes kommt es zum Abbruch der Infektionskette. Andernfalls wird Strelastealer auf Basis einer DLL-Datei mit "hochgradig verschleiertem Code" installiert.
Um die Herkunft des Zielsystems zu bestimmen, prüft die Malware über eine API mit der Bezeichnung GetKeyboardLayout die gewählte Tastatursprache. Dabei erfolgt laut Sonicwall ein Abgleich mit mehreren Sprachcodes, die typischerweise auf spanischen, polnischen, italienischen und deutschen Systemen zum Einsatz kommen.
Im Anschluss wird im Appdata-Verzeichnis der Nutzer sowie in der Windows-Registry nach Nutzerprofilen für Thunderbird und Outlook gesucht. Gefundene Daten werden an ein von den Angreifern kontrolliertes System übermittelt.
Strelastealer ist mindestens seit Ende 2022 aktiv
Wie genau die Angreifer ihre Opfer dazu bewegen, die in den Mails enthaltene Archivdatei zu öffnen und die Infektionskette in Gang zu setzen, erklärten die Forscher nicht. Denkbar ist, dass dafür Social-Engineering-Techniken zum Einsatz kommen, möglicherweise kombiniert mit durch Datenlecks oder andere Kontaktversuche erlangten Informationen über die jeweilige Zielperson.
Schon Anfang April veröffentlichten die Sonicwall-Forscher einen umfangreichen Bericht zu Strelastealer(öffnet im neuen Fenster), in dem sie weitere technische Details zu der Schadsoftware erläuterten. Die ersten Angriffe mit der Malware wurden demnach im November 2022 beobachtet.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.