StrelaStealer

StrelaStealer on spetsiaalne pahavaraoht, mida ründajad kasutavad oma ohvrite e-posti konto mandaatide ohustamiseks. Oht on loodud spetsiaalselt Microsoft Outlooki ja Mozilla Thunderbirdi meiliklientidelt konto mandaatide eraldamiseks. Teave StrelaStealeri ja selle toimimise kohta esitati küberjulgeoleku teadlaste avaldatud aruandes. Nende leidude kohaselt oli oht rämpspostikampaania kaudu peamiselt suunatud hispaania keelt kõnelevatele kasutajatele.

StrelaStealer kasutab sihitud andmete hankimiseks kahte erinevat tehnikat, olenevalt sellest, kas see ründab Outlooki või Thunderbirdi. Kui proovite Outlookist mandaate välja võtta, pääseb pahavara esmalt juurde Windowsi registrisse, et hankida vajalik rakenduse võti, samuti väärtused 'IMAP-kasutaja', IMAP-server' ja 'IMAP-parool'. Seadmes krüpteeritud kujul hoitava sihitud teabe dekrüpteerimiseks kasutab StrelaStealer Windowsi CryptUnproctectData funktsiooni.

Teise võimalusena, kui see sihib Mozilla Thunderbirdi, teeb oht esmalt kaks eraldi otsingut kataloogis „%APPDATA%\Thunderbird\Profiles\”. Esimene otsing on "logins.json", mis sisaldab ohvri kontot ja parooli, samas kui teine otsing "key4.db", mis on paroolide andmebaas.

Sihtmärgi meilile juurdepääsu saamine annab ründajatele võimaluse sooritada mitmeid petturlikke tegevusi. Nad võivad kahjustada rikutud konto meilisõnumitest leitud andmeid või proovida üle võtta täiendavaid kontosid, mis on meiliga seotud. Samuti võivad nad oletada ohvri identiteedi ja hakata saatma meelitavaid sõnumeid, levitama valeinformatsiooni või pahavaraohtusid, küsima raha jne.