StrelaStealer

StrelaStealer is een gespecialiseerde malwarebedreiging die door aanvallers wordt gebruikt om de e-mailaccountgegevens van hun slachtoffers in gevaar te brengen. De dreiging is specifiek ontworpen om accountgegevens te extraheren uit Microsoft Outlook en Mozilla Thunderbird e-mailclients. Informatie over StrelaStealer en de manier waarop het werkt, werd verstrekt in een rapport dat is gepubliceerd door cybersecurity-onderzoekers. Volgens hun bevindingen was de dreiging vooral gericht op Spaanstalige gebruikers, via een e-mailspamcampagne.

StrelaStealer gebruikt twee verschillende technieken om de beoogde gegevens te verkrijgen, afhankelijk van of het Outlook of Thunderbird aanvalt. Wanneer u inloggegevens uit Outlook probeert te extraheren, zal de malware eerst toegang krijgen tot het Windows-register om de benodigde applicatiesleutel op te halen, evenals de waarden voor 'IMAP-gebruiker', 'IMAP-server' en 'IMAP-wachtwoord'. Om de gerichte informatie, die in gecodeerde vorm op het apparaat wordt bewaard, te ontsleutelen, maakt StrelaStealer gebruik van de Windows CryptUnproctectData-functie.

Als alternatief, wanneer het Mozilla Thunderbird als doelwit heeft, zal de dreiging eerst twee afzonderlijke zoekopdrachten uitvoeren in de map '%APPDATA%\Thunderbird\Profiles\'. De eerste zoekopdracht zal zijn naar 'logins.json' met daarin het account en wachtwoord van het slachtoffer, terwijl de tweede zoekopdracht zal zijn naar 'key4.db', wat een wachtwoorddatabase is'

Door toegang te krijgen tot de e-mail van het doelwit kunnen de aanvallers tal van frauduleuze activiteiten uitvoeren. Ze kunnen de gegevens in de e-mailberichten van het geschonden account in gevaar brengen of proberen extra accounts over te nemen die aan de e-mail zijn gekoppeld. Ze kunnen ook de identiteit van het slachtoffer aannemen en verlokkende berichten gaan verzenden, verkeerde informatie of malwarebedreigingen verspreiden, om geld vragen, enz.