Threat Database Stealers 스트렐라스틸러

스트렐라스틸러

StrelaStealer는 공격자가 피해자의 이메일 계정 자격 증명을 손상시키는 데 사용하는 특수 맬웨어 위협입니다. 이 위협은 Microsoft Outlook 및 Mozilla Thunderbird 이메일 클라이언트에서 계정 자격 증명을 추출하도록 특별히 설계되었습니다. StrelaStealer 및 작동 방식에 대한 정보는 사이버 보안 연구원이 발행한 보고서에서 제공되었습니다. 그들의 발견에 따르면 위협은 대부분 스팸 이메일 캠페인을 통해 스페인어를 사용하는 사용자를 대상으로 했습니다.

StrelaStealer는 공격 대상이 Outlook인지 Thunderbird인지에 따라 두 가지 다른 기술을 사용하여 대상 데이터를 얻습니다. Outlook에서 자격 증명을 추출하려고 하면 멀웨어는 먼저 Windows 레지스트리에 액세스하여 필요한 응용 프로그램 키와 'IMAP 사용자', 'IMAP 서버' 및 'IMAP 암호' 값을 검색합니다. 장치에 암호화된 형식으로 보관된 대상 정보를 해독하기 위해 StrelaStealer는 Windows CryptUnproctectData 기능을 이용합니다.

또는 Mozilla Thunderbird를 대상으로 하는 경우 위협 요소는 먼저 '%APPDATA%\Thunderbird\Profiles\' 디렉터리 내에서 두 가지 개별 검색을 수행합니다. 첫 번째 검색은 피해자의 계정과 비밀번호가 포함된 'logins.json'이고 두 번째 검색은 비밀번호 데이터베이스인 'key4.db'입니다.

대상의 이메일에 대한 액세스 권한을 얻으면 공격자는 수많은 사기 활동을 수행할 수 있습니다. 그들은 침해된 계정의 이메일 메시지에서 발견된 데이터를 손상시키거나 이메일과 연결된 추가 계정을 인수하려고 시도할 수 있습니다. 또한 피해자의 신원을 가장하고 유인 메시지를 보내고, 잘못된 정보나 악성코드 위협을 퍼뜨리고, 돈을 요구하는 등의 작업을 시작할 수 있습니다.

트렌드

가장 많이 본

로드 중...