StrelaStealer

StrelaStealer е специализирана заплаха за злонамерен софтуер, използвана от нападателите, за да компрометират идентификационните данни на имейл акаунта на своите жертви. Заплахата е създадена специално за извличане на идентификационни данни за акаунт от имейл клиенти на Microsoft Outlook и Mozilla Thunderbird. Информация за StrelaStealer и начина, по който работи, беше предоставена в доклад, публикуван от изследователи по киберсигурност. Според техните открития заплахата е била насочена най-вече към испаноговорящи потребители, чрез кампания за спам имейл.

StrelaStealer използва две различни техники за получаване на целевите данни, в зависимост от това дали атакува Outlook или Thunderbird. Когато се опитва да извлече идентификационни данни от Outlook, злонамереният софтуер първо ще получи достъп до системния регистър на Windows, за да извлече необходимия ключ на приложението, както и стойностите „IMAP потребител“, „IMAP сървър“ и „IMAP парола“. За да дешифрира целевата информация, която се съхранява на устройството в криптирана форма, StrelaStealer ще използва функцията Windows CryptUnproctectData.

Като алтернатива, когато е насочена към Mozilla Thunderbird, заплахата първо ще извърши две отделни търсения в директорията „%APPDATA%\Thunderbird\Profiles\“. Първото търсене ще бъде за „logins.json“, съдържащ акаунта и паролата на жертвата, докато второто търсене ще бъде за „key4.db“, което е база данни с пароли“

Получаването на достъп до имейла на целта ще предостави на нападателите възможността да извършват множество измамни дейности. Те могат да компрометират данните, намерени в имейл съобщенията на пробития акаунт, или да се опитат да поемат допълнителни акаунти, които са свързани с имейла. Те също могат да приемат самоличността на жертвата и да започнат да изпращат примамливи съобщения, да разпространяват дезинформация или заплахи за зловреден софтуер, да искат пари и т.н.