Strela Stealer с лёгкостью превращает взломанные чаты в цифровое оружие.
Группа киберпреступников Hive0145 запустила серию атак по всей Европе, используя продвинутый вредоносный софт Strela Stealer для кражи конфиденциальных данных из электронной почты.
Как сообщили исследователи IBM X-Force, эта волна атак нацелена в первую очередь на Испанию, Германию и Украину. Злоумышленники рассылают фишинговые письма с поддельными, но настоящими счетами-фактурами, чтобы обмануть получателей и повысить успешность заражения.
Hive0145 действует с конца 2022 года, ориентируясь на кражу данных через Strela Stealer, который извлекает информацию из Microsoft Outlook и Mozilla Thunderbird. С середины 2023 года количество атак и их сложность значительно возросли.
Тем временем, с июля 2024 года Hive0145 изменила тактику: вместо простых фишинговых сообщений хакеры начали использовать реальные письма со взломанными вложениями. Такой метод повышает доверие к письму, так как оригинальный контент не меняется. Ранее подобные подходы применяли группировки вроде Emotet.
Чтобы обойти системы безопасности, киберпреступники начали использовать редкие типы файлов, такие как «.com» и «.pif», а также сложные скрипты для обхода защиты. Эксперты IBM X-Force отметили, что Hive0145 может частично автоматизировать свои процессы, что позволяет группе увеличивать частоту атак.
Основной целью Strela Stealer остаются данные электронной почты. Программа настроена на работу на устройствах с определёнными языковыми раскладками клавиатуры, что делает её эффективной при атаках на пользователей из Испании, Германии и Украины.
Аналитики предупреждают, что подобные атаки будут продолжаться. Компании в Европе, особенно в тех секторах, чьи письма часто используются в фишинговых схемах, должны усилить меры защиты и повышать осведомлённость сотрудников о подобных угрозах.
Гравитация научных фактов сильнее, чем вы думаете