Investigadores de seguridad han advertido sobre una nueva campaña del malware StrelaStealer a gran escala que ha afectado a más de un centenar de organizaciones en EE.UU. y Europa.
El malware trataba de robar credenciales de cuentas de correo electrónico de Outlook y Thunderbird, principalmente.
Según se hace eco Bleeping Computer, una característica notable de StrelaStealer es la utilización de un método de infección de archivos políglota para evadir la detección de software de seguridad.
En un primer momento, cuando el malware fue documentado (allá por noviembre de 2022), se constató que su principal objetivo eran usuarios de habla hispana. Pero un reciente informe de Unit42 de Palo Alto Networks ha mostrado que ahora se dirige a personas de EE.UU. y Europa.
StrelaStealer se distribuiría a través de campañas de phishing, las cuales mostraron un crecimiento significativo en noviembre de 2023. Algunos días incluso llegaron a apuntar a más de 250 organizaciones en EE.UU.
Este no fue el fin de la 'oleada'. Los correos de phising siguieron llegado en grandes volúmenes hasta 2024. De hecho, entre finales de enero y principios de febrero Unit42 pudo dar cuenta de una importante ola de actividad.
Este último período fue especialmente intensivo, llegando a darse ciberataques algunas jornadas más de medio millar de objetivos en EE.UU.
Los actores de amenazas mostraron el uso de varias lenguas, utilizando el inglés y otros idiomas europeos para ajustar sus amenazas según les convenía.
Los sectores más atacados
En cuanto a los sectores que estuvieron en el foco de los cibermalos están la alta tecnología, seguidos de finanzas, servicios legales, manufactura, gobierno, servicios públicos y energía, seguros y construcción.
Pese a que los mecanismos de infección originales de StrelaStealer de finales de 2022 han evolucionado, el malware todavía usa emails maliciosos como principal vector de infección.
En definitiva, el malware sigue actuando robando información de inicio de sesión de clientes de correo populares y enviándola al servidor de comando y control (C2) de los atacantes.