StrelaStealer

StrelaStealer és una amenaça de programari maliciós especialitzat, utilitzada pels atacants per comprometre les credencials del compte de correu electrònic de les seves víctimes. L'amenaça està dissenyada específicament per extreure les credencials del compte dels clients de correu electrònic de Microsoft Outlook i Mozilla Thunderbird. La informació sobre StrelaStealer i la seva manera d'operar es va proporcionar en un informe publicat per investigadors de ciberseguretat. Segons les seves conclusions, l'amenaça es va dirigir principalment als usuaris de parla espanyola, mitjançant una campanya de correu brossa.

StrelaStealer utilitza dues tècniques diferents per obtenir les dades dirigides, depenent de si està atacant Outlook o Thunderbird. Quan s'intenta extreure credencials d'Outlook, el programari maliciós accedirà primer al Registre de Windows per recuperar la clau de l'aplicació necessària, així com els valors "Usuari IMAP", "Servidor IMAP" i "Contrasenya IMAP". Per desxifrar la informació de destinació, que es guarda al dispositiu en forma xifrada, StrelaStealer explotarà la funció CryptUnproctectData de Windows.

Alternativament, quan s'orienti a Mozilla Thunderbird, l'amenaça primer realitzarà dues cerques separades al directori '%APPDATA%\Thunderbird\Profiles\'. La primera cerca serà "logins.json" que conté el compte i la contrasenya de la víctima, mentre que la segona cerca serà "key4.db", que és una base de dades de contrasenyes".

L'accés al correu electrònic de l'objectiu proporcionarà als atacants la possibilitat de realitzar nombroses activitats fraudulentes. Poden comprometre les dades que es troben als missatges de correu electrònic del compte violat o intentar fer-se càrrec de comptes addicionals associats al correu electrònic. També podrien assumir la identitat de la víctima i començar a enviar missatges atractius, difondre informació errònia o amenaces de programari maliciós, demanar diners, etc.