StrelaStealer

O StrelaStealer é uma ameaça de malware especializada, usada por invasores para comprometer as credenciais da conta de e-mail de suas vítimas. A ameaça foi projetada especificamente para extrair credenciais de contas de clientes de e-mail do Microsoft Outlook e do Mozilla Thunderbird. As informações sobre o StrelaStealer e a forma como ele opera foram fornecidas em um relatório publicado por pesquisadores de segurança cibernética. De acordo com suas descobertas, a ameaça foi direcionada principalmente a usuários de língua espanhola, por meio de uma campanha de e-mail de spam.

O StrelaStealer usa duas técnicas diferentes para obter os dados direcionados, dependendo se está atacando o Outlook ou o Thunderbird. Ao tentar extrair credenciais do Outlook, o malware acessará primeiro o Registro do Windows para recuperar a chave do aplicativo necessária, bem como os valores de 'Usuário IMAP', 'Servidor IMAP' e 'Senha IMAP'. Para descriptografar as informações direcionadas, que são mantidas no dispositivo de forma criptografada, o StrelaStealer explorará o recurso Windows CryptUnproctectData.

Como alternativa, quando o alvo é o Mozilla Thunderbird, a ameaça primeiro realizará duas pesquisas separadas no diretório '%APPDATA%\Thunderbird\Profiles\'. A primeira busca será por 'logins.json' contendo a conta e senha da vítima, enquanto a segunda busca será por 'key4.db', que é um banco de dados de senhas'

Obter acesso ao e-mail do alvo fornecerá aos invasores a capacidade de realizar inúmeras atividades fraudulentas. Eles podem comprometer os dados encontrados nas mensagens de e-mail da conta violada ou tentar assumir contas adicionais associadas ao e-mail. Eles também podem assumir a identidade da vítima e começar a enviar mensagens atraentes, espalhar desinformação ou ameaças de malware, pedir dinheiro etc.