StrelaStealer

StrelaStealer är ett specialiserat hot mot skadlig programvara som används av angripare för att äventyra sina offers e-postkontouppgifter. Hotet är speciellt utformat för att extrahera kontouppgifter från Microsoft Outlook och Mozilla Thunderbird e-postklienter. Information om StrelaStealer och hur det fungerar gavs i en rapport publicerad av cybersäkerhetsforskare. Enligt deras upptäckter var hotet mest riktat mot spansktalande användare, via en spam-e-postkampanj.

StrelaStealer använder två olika tekniker för att erhålla måldata, beroende på om den attackerar Outlook eller Thunderbird. När du försöker extrahera autentiseringsuppgifter från Outlook kommer den skadliga programvaran först åt Windows-registret för att hämta den nödvändiga applikationsnyckeln, samt värdena 'IMAP User', 'IMAP Server' och 'IMAP Password'. För att dekryptera den riktade informationen, som hålls på enheten i en krypterad form, kommer StrelaStealer att utnyttja Windows CryptUnproctectData-funktionen.

Alternativt, när det riktar sig mot Mozilla Thunderbird, kommer hotet först att utföra två separata sökningar i katalogen '%APPDATA%\Thunderbird\Profiles\'. Den första sökningen kommer att göras efter 'logins.json' som innehåller offrets konto och lösenord, medan den andra sökningen kommer att göras efter 'key4.db', som är en lösenordsdatabas.

Att få tillgång till målets e-post kommer att ge angriparna möjligheten att utföra många, bedrägliga aktiviteter. De kan äventyra informationen som finns i e-postmeddelanden från det brutna kontot eller försöka ta över ytterligare konton som är kopplade till e-postmeddelandet. De kan också anta offrets identitet och börja skicka lockande meddelanden, sprida felaktig information eller skadlig programvara, be om pengar, etc.