StrelaStealer

StrelaStealer je špecializovaná malvérová hrozba, ktorú útočníci používajú na kompromitáciu prihlasovacích údajov k e-mailovému účtu svojich obetí. Hrozba je navrhnutá špeciálne na extrahovanie poverení účtu z e-mailových klientov Microsoft Outlook a Mozilla Thunderbird. Informácie o StrelaStealer a spôsobe jeho fungovania boli poskytnuté v správe, ktorú zverejnili výskumníci v oblasti kybernetickej bezpečnosti. Podľa ich zistení bola hrozba zameraná väčšinou na španielsky hovoriacich používateľov prostredníctvom spamovej e-mailovej kampane.

StrelaStealer používa dve rôzne techniky na získanie cieľových údajov v závislosti od toho, či útočí na Outlook alebo Thunderbird. Pri pokuse o extrakciu poverení z programu Outlook malvér najskôr vstúpi do databázy Registry systému Windows, aby získal potrebný kľúč aplikácie, ako aj hodnoty 'IMAP User', 'IMAP Server' a 'IMAP Password'. StrelaStealer využije funkciu Windows CryptUnproctectData na dešifrovanie cielených informácií, ktoré sú v zariadení uchovávané v zašifrovanej forme.

Alternatívne, keď sa zameriava na Mozilla Thunderbird, hrozba najskôr vykoná dve samostatné vyhľadávania v adresári '%APPDATA%\Thunderbird\Profiles\'. Prvé vyhľadávanie bude „logins.json“ obsahujúce účet a heslo obete, zatiaľ čo druhé vyhľadávanie bude „key4.db“, čo je databáza hesiel“

Získanie prístupu k e-mailu cieľa poskytne útočníkom možnosť vykonávať množstvo podvodných činností. Môžu kompromitovať údaje nachádzajúce sa v e-mailových správach narušeného účtu alebo sa pokúsiť prevziať ďalšie účty spojené s e-mailom. Mohli by tiež prevziať identitu obete a začať posielať vábivé správy, šíriť dezinformácie alebo hrozby škodlivého softvéru, žiadať peniaze atď.