StrelaStealer

StrelaStealer to wyspecjalizowane zagrożenie złośliwym oprogramowaniem, wykorzystywane przez atakujących do złamania danych uwierzytelniających konta e-mail swoich ofiar. Zagrożenie zostało zaprojektowane specjalnie w celu wyodrębnienia danych uwierzytelniających konta z klientów poczty e-mail Microsoft Outlook i Mozilla Thunderbird. Informacje o StrelaStealer i sposobie jego działania zostały zawarte w raporcie opublikowanym przez badaczy cyberbezpieczeństwa. Zgodnie z ich ustaleniami, zagrożenie było skierowane głównie do użytkowników hiszpańskojęzycznych za pośrednictwem kampanii spamowej e-mail.

StrelaStealer wykorzystuje dwie różne techniki w celu uzyskania docelowych danych, w zależności od tego, czy atakuje Outlooka, czy Thunderbirda. Podczas próby wyodrębnienia poświadczeń z Outlooka złośliwe oprogramowanie najpierw uzyska dostęp do rejestru systemu Windows, aby pobrać niezbędny klucz aplikacji, a także wartości „Użytkownik IMAP”, „Serwer IMAP” i „Hasło IMAP”. Aby odszyfrować docelowe informacje, które są przechowywane na urządzeniu w postaci zaszyfrowanej, StrelaStealer wykorzysta funkcję Windows CryptUnproctectData.

Alternatywnie, gdy atakuje Mozilla Thunderbird, zagrożenie najpierw wykona dwa oddzielne wyszukiwania w katalogu „%APPDATA%\Thunderbird\Profiles\”. Pierwsze wyszukiwanie będzie dotyczyło „logins.json” zawierającego konto i hasło ofiary, podczas gdy drugie wyszukiwanie będzie dotyczyło „key4.db”, będącego bazą haseł”

Uzyskanie dostępu do poczty e-mail celu zapewni atakującym możliwość wykonywania wielu oszukańczych działań. Mogą złamać dane znalezione w wiadomościach e-mail z naruszonego konta lub próbować przejąć dodatkowe konta, które są powiązane z wiadomością e-mail. Mogą również przyjąć tożsamość ofiary i zacząć wysyłać kuszące wiadomości, rozpowszechniać dezinformacje lub groźby złośliwego oprogramowania, prosząc o pieniądze itp.