StrelaStealer

StrelaStealer este o amenințare malware specializată, folosită de atacatori pentru a compromite acreditările contului de e-mail al victimelor lor. Amenințarea este concepută special pentru a extrage acreditările contului de la clienții de e-mail Microsoft Outlook și Mozilla Thunderbird. Informații despre StrelaStealer și modul în care funcționează au fost furnizate într-un raport publicat de cercetătorii în domeniul securității cibernetice. Potrivit constatărilor lor, amenințarea a fost vizată în principal utilizatorilor vorbitori de spaniolă, printr-o campanie de e-mail de spam.

StrelaStealer folosește două tehnici diferite pentru a obține datele vizate, în funcție de faptul că atacă Outlook sau Thunderbird. Când încearcă să extragă acreditările din Outlook, malware-ul va accesa mai întâi Registrul Windows pentru a prelua cheia de aplicație necesară, precum și valorile „Utilizator IMAP”, „Server IMAP” și „Parola IMAP”. Pentru a decripta informațiile vizate, care sunt păstrate pe dispozitiv într-o formă criptată, StrelaStealer va exploata caracteristica Windows CryptUnproctectData.

Alternativ, atunci când vizează Mozilla Thunderbird, amenințarea va efectua mai întâi două căutări separate în directorul „%APPDATA%\Thunderbird\Profiles\”. Prima căutare va fi pentru „logins.json”, care conține contul și parola victimei, în timp ce a doua căutare va fi pentru „key4.db”, care este o bază de date de parole”.

Obținerea accesului la e-mailul țintei va oferi atacatorilor posibilitatea de a efectua numeroase activități frauduloase. Aceștia pot compromite datele găsite în mesajele de e-mail ale contului încălcat sau pot încerca să preia conturi suplimentare care sunt asociate cu e-mailul. De asemenea, ar putea să-și asume identitatea victimei și să înceapă să trimită mesaje atrăgătoare, să răspândească informații greșite sau amenințări de malware, să ceară bani etc.