StrelaStealer

StrelaStealer je specializovaná malwarová hrozba, kterou útočníci používají ke kompromitaci přihlašovacích údajů k e-mailovému účtu svých obětí. Hrozba je navržena speciálně k extrahování přihlašovacích údajů k účtu z e-mailových klientů Microsoft Outlook a Mozilla Thunderbird. Informace o StrelaStealer a způsobu jeho fungování poskytla zpráva zveřejněná výzkumníky v oblasti kybernetické bezpečnosti. Podle jejich zjištění byla hrozba většinou zaměřena na španělsky mluvící uživatele prostřednictvím spamové e-mailové kampaně.

StrelaStealer používá dvě různé techniky k získání cílených dat v závislosti na tom, zda útočí na Outlook nebo Thunderbird. Při pokusu o extrahování přihlašovacích údajů z aplikace Outlook malware nejprve vstoupí do registru Windows, aby získal potřebný klíč aplikace a také hodnoty 'IMAP User', 'IMAP Server' a 'IMAP Password'. K dešifrování cílených informací, které jsou v zařízení uchovávány v zašifrované podobě, využije StrelaStealer funkci Windows CryptUnproctectData.

Alternativně, když se zaměřuje na Mozilla Thunderbird, hrozba nejprve provede dvě samostatná vyhledávání v adresáři '%APPDATA%\Thunderbird\Profiles\'. První hledání bude 'logins.json' obsahující účet a heslo oběti, zatímco druhé hledání bude 'key4.db,' což je databáze hesel'

Získání přístupu k e-mailu cíle poskytne útočníkům možnost provádět četné podvodné činnosti. Mohou kompromitovat data nalezená v e-mailových zprávách narušeného účtu nebo se pokusit převzít další účty spojené s e-mailem. Mohli také převzít identitu oběti a začít posílat vábivé zprávy, šířit dezinformace nebo hrozby malwaru, žádat o peníze atd.