StrelaStealer

StrelaStealer je specijalizirana prijetnja od zlonamjernog softvera koju napadači koriste za kompromitiranje vjerodajnica računa e-pošte svojih žrtava. Prijetnja je osmišljena posebno za izvlačenje vjerodajnica računa iz klijenata e-pošte Microsoft Outlook i Mozilla Thunderbird. Informacije o StrelaStealeru i načinu na koji funkcionira navedene su u izvješću koje su objavili istraživači kibernetičke sigurnosti. Prema njihovim nalazima, prijetnja je uglavnom bila usmjerena na korisnike koji govore španjolski, putem kampanje neželjene e-pošte.

StrelaStealer koristi dvije različite tehnike za dobivanje ciljanih podataka, ovisno o tome napada li Outlook ili Thunderbird. Kada pokušava izvući vjerodajnice iz Outlooka, zlonamjerni softver prvo će pristupiti registru sustava Windows kako bi dohvatio potrebni ključ aplikacije, kao i vrijednosti 'IMAP korisnika,' 'IMAP poslužitelja' i 'IMAP lozinke'. Za dešifriranje ciljanih informacija, koje se čuvaju na uređaju u šifriranom obliku, StrelaStealer će iskoristiti značajku Windows CryptUnproctectData.

Alternativno, kada cilja Mozilla Thunderbird, prijetnja će prvo izvršiti dva odvojena pretraživanja unutar direktorija '%APPDATA%\Thunderbird\Profiles\'. Prva pretraga bit će za 'logins.json' koja sadrži račun i lozinku žrtve, dok će druga pretraga biti za 'key4.db', što je baza podataka zaporki'

Dobivanje pristupa ciljnoj e-pošti će napadačima omogućiti izvođenje brojnih lažnih aktivnosti. Mogu kompromitirati podatke pronađene u porukama e-pošte probijenog računa ili pokušati preuzeti dodatne račune koji su povezani s e-poštom. Također bi mogli preuzeti identitet žrtve i početi slati primamljive poruke, širiti dezinformacije ili prijetnje zlonamjernim softverom, tražiti novac itd.