StrelaStealer

يعد StrelaStealer تهديدًا متخصصًا للبرامج الضارة ، يستخدمه المهاجمون لخرق بيانات اعتماد حساب البريد الإلكتروني لضحاياهم. تم تصميم التهديد خصيصًا لاستخراج بيانات اعتماد الحساب من Microsoft Outlook وعملاء البريد الإلكتروني Mozilla Thunderbird. تم توفير معلومات حول StrelaStealer وطريقة عملها في تقرير نشره باحثو الأمن السيبراني. وفقًا للنتائج التي توصلوا إليها ، كان التهديد في الغالب موجهًا إلى المستخدمين الناطقين بالإسبانية ، عبر حملة بريد إلكتروني عشوائي.

يستخدم StrelaStealer طريقتين مختلفتين للحصول على البيانات المستهدفة ، اعتمادًا على ما إذا كان يهاجم Outlook أو Thunderbird. عند محاولة استخراج بيانات الاعتماد من Outlook ، ستصل البرامج الضارة أولاً إلى سجل Windows لاسترداد مفتاح التطبيق الضروري ، بالإضافة إلى قيم "مستخدم IMAP" و "خادم IMAP" و "كلمة مرور IMAP". لفك تشفير المعلومات المستهدفة ، والتي يتم الاحتفاظ بها على الجهاز في شكل مشفر ، ستستغل StrelaStealer ميزة Windows CryptUnproctectData.

بدلاً من ذلك ، عند استهداف Mozilla Thunderbird ، سيقوم التهديد أولاً بإجراء عمليتي بحث منفصلتين في الدليل "٪ APPDATA٪ \ Thunderbird \ Profiles \". سيكون البحث الأول عن "logins.json" الذي يحتوي على حساب الضحية وكلمة المرور ، بينما سيكون البحث الثاني عن "key4.db" ، وهو عبارة عن قاعدة بيانات لكلمات المرور "

سيؤدي الوصول إلى البريد الإلكتروني للهدف إلى تزويد المهاجمين بالقدرة على تنفيذ العديد من الأنشطة الاحتيالية. يمكنهم اختراق البيانات الموجودة في رسائل البريد الإلكتروني للحساب المخترق أو محاولة الاستيلاء على حسابات إضافية مرتبطة بالبريد الإلكتروني. يمكنهم أيضًا تحديد هوية الضحية والبدء في إرسال رسائل مغرية ، ونشر معلومات مضللة أو تهديدات بالبرامج الضارة ، وطلب المال ، وما إلى ذلك.