StrelaStealer

StrelaStealer یک تهدید بدافزار تخصصی است که توسط مهاجمان برای به خطر انداختن اعتبار حساب ایمیل قربانیان خود استفاده می شود. این تهدید به طور خاص برای استخراج اعتبار حساب از مشتریان ایمیل Microsoft Outlook و Mozilla Thunderbird طراحی شده است. اطلاعاتی درباره StrelaStealer و نحوه عملکرد آن در گزارشی که توسط محققان امنیت سایبری منتشر شده است ارائه شده است. بر اساس یافته های آنها، این تهدید بیشتر کاربران اسپانیایی زبان را از طریق یک کمپین ایمیل اسپم هدف قرار داده است.

StrelaStealer بسته به اینکه به Outlook یا Thunderbird حمله می کند از دو تکنیک مختلف برای به دست آوردن داده های مورد نظر استفاده می کند. هنگام تلاش برای استخراج اعتبار از Outlook، بدافزار ابتدا به رجیستری ویندوز برای بازیابی کلید برنامه لازم و همچنین مقادیر «IMAP User»، «IMAP Server» و «IMAP Password» دسترسی پیدا می‌کند. برای رمزگشایی اطلاعات مورد نظر که به صورت رمزگذاری شده در دستگاه نگهداری می شود، StrelaStealer از ویژگی Windows CryptUnproctectData سوء استفاده می کند.

از طرف دیگر، زمانی که تهدید موزیلا تاندربرد را هدف قرار می‌دهد، ابتدا دو جستجوی جداگانه در فهرست '%APPDATA%\Thunderbird\Profiles\' انجام می‌دهد. اولین جستجو برای 'logins.json' حاوی حساب و رمز عبور قربانی خواهد بود، در حالی که جستجوی دوم برای 'key4.db' خواهد بود که یک پایگاه داده رمز عبور است.

دسترسی به ایمیل هدف، مهاجمان را قادر می سازد تا فعالیت های متقلبانه و متعددی را انجام دهند. آنها می‌توانند داده‌های موجود در پیام‌های ایمیل حساب نقض‌شده را به خطر بیاندازند یا سعی کنند حساب‌های دیگری را که با ایمیل مرتبط هستند تصاحب کنند. آنها همچنین می توانند هویت قربانی را فرض کنند و شروع به ارسال پیام های فریبنده، انتشار اطلاعات نادرست یا تهدیدات بدافزار، درخواست پول و غیره کنند.