Il malware Strela è approdato in Italia la scorsa settimana. Si tratta di un semplice stealer specializzato nel furto delle credenziali di posta dagli applicativi Thunderbird e Outlook, tuttavia, fatta eccezione per la prima ondata, il packer con cui viene veicolato è più complicato da analizzare per via della tecnica di Control Flow Obfuscation (CFO) che impiega.
Strela è un malware minimale che ha come uniche funzionalità quelle di rubare gli account di posta da Thunderbird ed Outlook. Non presenta alcun tipo di offuscazione, il C2 è in chiaro nel malware, così come tutte le altre stringhe.
Il packer di Strela sembra scritto con MinGW (di cui si riconoscono molte funzioni firma) ed il debugger IDA non ha particolari problemi ad identificare buona parte del runtime. Sono presenti due callback TLS ma sono quelli tipici di MinGW e per i quali non è necessaria che una veloce analisi superficiale. La funzione WinMain è però stata offuscata facendo uso, di CFO. Il CFG generato da IDA è decisamente disarmante.
La procedura di analisi più diretta (ma più complessa) da seguire è quella che cerca di districare il flusso di esecuzione in modo simile a come era stato fatto per Emotet a suo tempo.
Il malware si assicura che una sola istanza sia in esecuzione tramite un mutex (il cui nome è dato dal nome del computer della vittima XORato con la stringa strela, da cui il nome del malware). Dopodiché ruba gli account di Thunderbird ed Outlook, mostra un messaggio di errore all’utente (in un italiano non proprio idiomatico) e termina.
L’infezione non usa TTP peculiari ed è essenzialmente un classico esempio di malware diffuso tramite packer. Una volta che il payload è in esecuzione, questo ruba gli account Thunderbird ed Outlook e li invia al C2.
Il C2 è localizzato in Russia, apparentemente di proprietà di una società di nome Prospero registrata nel novembre del 2022 e di cui non si trovano servizi online (forse è un servizio di hosting). Da una rapida indagine OSINT si trovano evidenze che sullo stesso ASN sono stati ospitati, dai primi del 2023, C2 di altre campagne malware.
https://cert-agid.gov.it/news/analisi-tecnica-e-considerazioni-sul-malware-strela/