StrelaStealer

A StrelaStealer egy speciális rosszindulatú fenyegetés, amelyet a támadók arra használnak, hogy veszélybe sodorják áldozataik e-mail fiókjainak hitelesítő adatait. A fenyegetést kifejezetten a Microsoft Outlook és a Mozilla Thunderbird e-mail kliensek hitelesítő adatainak kinyerésére tervezték. A StrelaStealerről és annak működéséről a kiberbiztonsági kutatók által közzétett jelentés szolgált. Megállapításaik szerint a fenyegetés leginkább spanyolul beszélő felhasználókat célozta meg egy spam e-mail kampányon keresztül.

A StrelaStealer két különböző technikát használ a megcélzott adatok megszerzésére, attól függően, hogy az Outlookot vagy a Thunderbirdet támadja-e. Amikor hitelesítő adatokat próbál kinyerni az Outlookból, a rosszindulatú program először a Windows Registry-hez fog hozzáférni, hogy lekérje a szükséges alkalmazáskulcsot, valamint az „IMAP-felhasználó”, „IMAP-kiszolgáló” és „IMAP-jelszó” értékeket. Az eszközön titkosított formában tárolt célzott információk visszafejtéséhez a StrelaStealer a Windows CryptUnproctectData szolgáltatását használja ki.

Alternatív megoldásként, ha a Mozilla Thunderbird-et célozza meg, a fenyegetés először két külön keresést hajt végre a „%APPDATA%\Thunderbird\Profiles\” könyvtárban. Az első keresés az áldozat fiókját és jelszavát tartalmazó "logins.json", míg a második keresés a "key4.db", amely egy jelszóadatbázis.

A célpont e-mailjéhez való hozzáférés lehetővé teszi a támadók számára, hogy számos csalárd tevékenységet hajtsanak végre. Feltörhetik a feltört fiók e-mail üzeneteiben található adatokat, vagy megpróbálhatnak átvenni további fiókokat, amelyek az e-mailhez vannak társítva. Felvehetik az áldozat személyazonosságát is, és elkezdhetnek csalogató üzeneteket küldeni, téves információkat vagy rosszindulatú programokkal fenyegetőzni, pénzt kérni stb.