StrelaStealer

StrelaStealer ir specializēts ļaunprātīgas programmatūras drauds, ko uzbrucēji izmanto, lai apdraudētu savu upuru e-pasta akreditācijas datus. Draudi ir īpaši izstrādāti, lai iegūtu konta akreditācijas datus no Microsoft Outlook un Mozilla Thunderbird e-pasta klientiem. Informācija par StrelaStealer un tā darbību tika sniegta kiberdrošības pētnieku publicētajā ziņojumā. Saskaņā ar viņu atklājumiem, draudi galvenokārt bija vērsti uz spāniski runājošiem lietotājiem, izmantojot surogātpasta e-pasta kampaņu.

StrelaStealer izmanto divas dažādas metodes, lai iegūtu mērķa datus, atkarībā no tā, vai tas uzbrūk programmai Outlook vai Thunderbird. Mēģinot izvilkt akreditācijas datus no programmas Outlook, ļaunprogrammatūra vispirms piekļūs Windows reģistram, lai izgūtu nepieciešamo lietojumprogrammas atslēgu, kā arī IMAP lietotāja, IMAP servera un IMAP paroles vērtības. Lai atšifrētu mērķinformāciju, kas tiek glabāta ierīcē šifrētā veidā, StrelaStealer izmantos Windows CryptUnproctectData līdzekli.

Alternatīvi, ja tas ir vērsts uz Mozilla Thunderbird, apdraudējums vispirms veiks divus atsevišķus meklējumus direktorijā '%APPDATA%\Thunderbird\Profiles\'. Pirmā meklēšana tiks veikta pēc “logins.json”, kas ietver upura kontu un paroli, savukārt otrā meklēšana tiks veikta ar “key4.db”, kas ir paroļu datubāze.

Piekļuves iegūšana mērķa e-pastam nodrošinās uzbrucējiem iespēju veikt daudzas krāpnieciskas darbības. Viņi var apdraudēt datus, kas atrodami uzlauztā konta e-pasta ziņojumos, vai mēģināt pārņemt papildu kontus, kas ir saistīti ar e-pastu. Viņi arī varētu pieņemt upura identitāti un sākt sūtīt vilinošus ziņojumus, izplatīt dezinformāciju vai ļaunprātīgas programmatūras draudus, lūgt naudu utt.