СтрелаСтилер

StrelaStealer — это специализированное вредоносное ПО, используемое злоумышленниками для компрометации учетных данных электронной почты своих жертв. Угроза разработана специально для извлечения учетных данных из почтовых клиентов Microsoft Outlook и Mozilla Thunderbird. Информация о StrelaStealer и принципах его работы была представлена в отчете, опубликованном исследователями кибербезопасности. Согласно их выводам, угроза была в основном нацелена на испаноязычных пользователей посредством рассылки спама по электронной почте.

StrelaStealer использует два разных метода для получения целевых данных, в зависимости от того, атакует ли он Outlook или Thunderbird. При попытке извлечь учетные данные из Outlook вредоносное ПО сначала обращается к реестру Windows, чтобы получить необходимый ключ приложения, а также значения «Пользователь IMAP», «Сервер IMAP» и «Пароль IMAP». Чтобы расшифровать целевую информацию, которая хранится на устройстве в зашифрованном виде, StrelaStealer будет использовать функцию CryptUnproctectData Windows.

В качестве альтернативы, когда она нацелена на Mozilla Thunderbird, угроза сначала выполнит два отдельных поиска в каталоге «%APPDATA%\Thunderbird\Profiles\». Первый поиск будет по «logins.json», содержащему учетную запись и пароль жертвы, а второй поиск будет по «key4.db», который является базой данных паролей.

Получение доступа к электронной почте цели предоставит злоумышленникам возможность выполнять многочисленные мошеннические действия. Они могут скомпрометировать данные, найденные в сообщениях электронной почты взломанной учетной записи, или попытаться захватить дополнительные учетные записи, связанные с электронной почтой. Они также могут принять личность жертвы и начать рассылать соблазнительные сообщения, распространять дезинформацию или вредоносные программы, просить денег и т. д.