StrelaStealer

StrelaStealer er en spesialisert skadelig programvare-trussel som brukes av angripere for å kompromittere e-postkontolegitimasjonen til ofrene deres. Trusselen er designet spesielt for å trekke ut kontolegitimasjon fra Microsoft Outlook og Mozilla Thunderbird e-postklienter. Informasjon om StrelaStealer og måten den opererer på ble gitt i en rapport publisert av cybersikkerhetsforskere. Ifølge funnene deres var trusselen hovedsakelig rettet mot spansktalende brukere, via en spam-e-postkampanje.

StrelaStealer bruker to forskjellige teknikker for å skaffe de målrettede dataene, avhengig av om den angriper Outlook eller Thunderbird. Når du prøver å trekke ut legitimasjon fra Outlook, vil skadelig programvare først få tilgang til Windows-registeret for å hente den nødvendige applikasjonsnøkkelen, samt verdiene 'IMAP-bruker', 'IMAP-server' og 'IMAP-passord'. For å dekryptere den målrettede informasjonen, som holdes på enheten i en kryptert form, vil StrelaStealer utnytte Windows CryptUnproctectData-funksjonen.

Alternativt, når den retter seg mot Mozilla Thunderbird, vil trusselen først utføre to separate søk i '%APPDATA%\Thunderbird\Profiles\'-katalogen. Det første søket vil være etter 'logins.json' som inneholder offerets konto og passord, mens det andre søket vil være etter 'key4.db', som er en passorddatabase.

Å få tilgang til målets e-post vil gi angriperne muligheten til å utføre en rekke, uredelige aktiviteter. De kan kompromittere dataene som finnes i e-postmeldingene til den brutte kontoen eller prøve å overta flere kontoer som er knyttet til e-posten. De kan også anta identiteten til offeret og begynne å sende lokkende meldinger, spre feilinformasjon eller trusler om skadelig programvare, be om penger osv.