StrelaStealer

StrelaStealer është një kërcënim i specializuar malware, i përdorur nga sulmuesit për të komprometuar kredencialet e llogarisë së emailit të viktimave të tyre. Kërcënimi është krijuar posaçërisht për të nxjerrë kredencialet e llogarisë nga klientët e emailit të Microsoft Outlook dhe Mozilla Thunderbird. Informacioni në lidhje me StrelaStealer dhe mënyrën se si funksionon është dhënë në një raport të publikuar nga studiues të sigurisë kibernetike. Sipas gjetjeve të tyre, kërcënimi ishte më së shumti në shënjestër ndaj përdoruesve që flisnin spanjisht, përmes një fushate emaili të padëshiruar.

StrelaStealer përdor dy teknika të ndryshme për të marrë të dhënat e synuara, në varësi të faktit nëse po sulmon Outlook ose Thunderbird. Kur përpiqet të nxjerrë kredencialet nga Outlook, malware fillimisht do të hyjë në Regjistrin e Windows për të marrë çelësin e nevojshëm të aplikacionit, si dhe vlerat "IMAP User", "IMAP Server" dhe "IMAP Password". Për të deshifruar informacionin e synuar, i cili ruhet në pajisje në një formë të koduar, StrelaStealer do të shfrytëzojë veçorinë e Windows CryptUnproctectData.

Përndryshe, kur synon Mozilla Thunderbird, kërcënimi së pari do të kryejë dy kërkime të veçanta brenda direktorisë '%APPDATA%\Thunderbird\Profiles\'. Kërkimi i parë do të jetë për 'logins.json' që përmban llogarinë dhe fjalëkalimin e viktimës, ndërsa kërkimi i dytë do të jetë për 'key4.db', që është një bazë të dhënash me fjalëkalim.

Marrja e aksesit në emailin e objektivit do t'u sigurojë sulmuesve mundësinë për të kryer aktivitete të shumta mashtruese. Ata mund të komprometojnë të dhënat e gjetura në mesazhet e emailit të llogarisë së shkelur ose të përpiqen të marrin përsipër llogari shtesë që lidhen me emailin. Ata gjithashtu mund të marrin identitetin e viktimës dhe të fillojnë të dërgojnë mesazhe joshëse, të përhapin dezinformata ose kërcënime malware, duke kërkuar para, etj.