前言概述

StrelaStealer恶意软件会窃取知名电子邮件客户端的电子邮件登录数据，并将其发送回攻击者的C2服务器，等攻击成功后，攻击者将会获得受害者的电子邮件登录信息的访问权限，然后可以使用这些信息进行下一步的攻击活动。

自2022年该恶意软件首次出现以来，StrelaStealer恶意软件背后的攻击者已经发起了多次大规模的电子邮件攻击活动，影响了欧盟和美国的100多个组织，这些攻击活动以带有附件的垃圾邮件的形式出现，最终启动 StrelaStealer恶意软件的DLL负载。

笔者通过https://malware-traffic-analysis.net网站下载到该窃密木马的最新的攻击活动的攻击链样本，对该攻击链样本进行了详细分析，分享出来供大家参考学习，相关的样本以及威胁情报，如下所示：

详细分析[出自:jiwo.org]

1.初始样本是一封钓鱼邮件，如下所示：

2.下载邮件的附件文件，如下所示：

3.解压缩压缩包之后是一个JS脚本，如下所示：

4.脚本内容，如下所示：

5.解密之后的脚本，如下所示：

6.最终解密执行的恶意脚本，通过regsvr32调用恶意模块，如下所示：

7.恶意模块的编译时间为2025年1月31日，如下所示：

8.DllRegisterServer代码，如下所示：

9.解密程序中加密的数据，如下所示：

10.解密之后的PayLoad,如下所示：

11.解密出来的PayLoad采用C/C++编写，编译时间为2025年1月10日，如下所示：

12.PayLoad代码中也使用了大量的混淆，如下所示：

13.遍历Thunderbird应用配置信息目录，如下所示：

14.获取目录下的登录信息等，如下所示：

15.获取OutLook的IMAP服务器登录帐号和密码信息，如下所示：

16.获取系统信息，如下所示：

17.连接远程服务器，将获取的邮件客户端相关的登录信息等发送到远程服务器，如下所示：

18.远程服务器C2地址为193.143.1.205，URL链接为/up.php，如下所示：

19.将获取的C2地址，通过威胁情报平台进行查询，如下所示：

到此StrelaStealer窃密木马整个攻击链就分析完毕了，从一封钓鱼邮件开始，通过附件包含的JS脚本加载执行恶意模块，然后在内存中解密出StrelaStealer窃密木马，获取受害者邮件客户端的登录信息等，然后发送到远程服务器。