StrelaStealer
StrelaStealer یک تهدید بدافزار تخصصی است که توسط مهاجمان برای به خطر انداختن اعتبار حساب ایمیل قربانیان خود استفاده می شود. این تهدید به طور خاص برای استخراج اعتبار حساب از مشتریان ایمیل Microsoft Outlook و Mozilla Thunderbird طراحی شده است. اطلاعاتی درباره StrelaStealer و نحوه عملکرد آن در گزارشی که توسط محققان امنیت سایبری منتشر شده است ارائه شده است. بر اساس یافته های آنها، این تهدید بیشتر کاربران اسپانیایی زبان را از طریق یک کمپین ایمیل اسپم هدف قرار داده است.
StrelaStealer بسته به اینکه به Outlook یا Thunderbird حمله می کند از دو تکنیک مختلف برای به دست آوردن داده های مورد نظر استفاده می کند. هنگام تلاش برای استخراج اعتبار از Outlook، بدافزار ابتدا به رجیستری ویندوز برای بازیابی کلید برنامه لازم و همچنین مقادیر «IMAP User»، «IMAP Server» و «IMAP Password» دسترسی پیدا میکند. برای رمزگشایی اطلاعات مورد نظر که به صورت رمزگذاری شده در دستگاه نگهداری می شود، StrelaStealer از ویژگی Windows CryptUnproctectData سوء استفاده می کند.
از طرف دیگر، زمانی که تهدید موزیلا تاندربرد را هدف قرار میدهد، ابتدا دو جستجوی جداگانه در فهرست '%APPDATA%\Thunderbird\Profiles\' انجام میدهد. اولین جستجو برای 'logins.json' حاوی حساب و رمز عبور قربانی خواهد بود، در حالی که جستجوی دوم برای 'key4.db' خواهد بود که یک پایگاه داده رمز عبور است.
دسترسی به ایمیل هدف، مهاجمان را قادر می سازد تا فعالیت های متقلبانه و متعددی را انجام دهند. آنها میتوانند دادههای موجود در پیامهای ایمیل حساب نقضشده را به خطر بیاندازند یا سعی کنند حسابهای دیگری را که با ایمیل مرتبط هستند تصاحب کنند. آنها همچنین می توانند هویت قربانی را فرض کنند و شروع به ارسال پیام های فریبنده، انتشار اطلاعات نادرست یا تهدیدات بدافزار، درخواست پول و غیره کنند.