StrelaStealer

StrelaStealer er en specialiseret malwaretrussel, der bruges af angribere til at kompromittere deres ofres e-mail-kontooplysninger. Truslen er designet specifikt til at udtrække kontolegitimationsoplysninger fra Microsoft Outlook og Mozilla Thunderbird e-mail-klienter. Oplysninger om StrelaStealer og den måde, det fungerer på, blev givet i en rapport udgivet af cybersikkerhedsforskere. Ifølge deres resultater var truslen for det meste rettet mod spansktalende brugere via en spam-e-mail-kampagne.

StrelaStealer bruger to forskellige teknikker til at opnå de målrettede data, afhængigt af om det angriber Outlook eller Thunderbird. Når du forsøger at udtrække legitimationsoplysninger fra Outlook, vil malware først få adgang til Windows-registreringsdatabasen for at hente den nødvendige programnøgle samt værdierne 'IMAP-bruger', 'IMAP-server' og 'IMAP-adgangskode'. For at dekryptere den målrettede information, som opbevares på enheden i en krypteret form, vil StrelaStealer udnytte Windows CryptUnproctectData-funktionen.

Alternativt, når den er rettet mod Mozilla Thunderbird, vil truslen først udføre to separate søgninger i mappen '%APPDATA%\Thunderbird\Profiles\'. Den første søgning vil være efter 'logins.json', der indeholder offerets konto og adgangskode, mens den anden søgning vil være efter 'key4.db', som er en adgangskodedatabase'

At få adgang til målets e-mail vil give angriberne mulighed for at udføre adskillige svigagtige aktiviteter. De kan kompromittere de data, der findes i e-mail-beskederne på den krænkede konto eller forsøge at overtage yderligere konti, der er knyttet til e-mailen. De kunne også påtage sig offerets identitet og begynde at sende lokkende beskeder, sprede misinformation eller malware-trusler, bede om penge osv.