StrelaStealer

StrelaStealer เป็นภัยคุกคามมัลแวร์เฉพาะทาง ซึ่งผู้โจมตีใช้เพื่อประนีประนอมข้อมูลบัญชีอีเมลของเหยื่อ ภัยคุกคามได้รับการออกแบบมาโดยเฉพาะเพื่อดึงข้อมูลประจำตัวของบัญชีจากไคลเอนต์อีเมล Microsoft Outlook และ Mozilla Thunderbird ข้อมูลเกี่ยวกับ StrelaStealer และวิธีการดำเนินการมีอยู่ในรายงานที่เผยแพร่โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ จากการค้นพบของพวกเขา ภัยคุกคามส่วนใหญ่มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาสเปน ผ่านแคมเปญอีเมลขยะ

StrelaStealer ใช้เทคนิคสองแบบที่แตกต่างกันเพื่อรับข้อมูลเป้าหมาย ขึ้นอยู่กับว่ากำลังโจมตี Outlook หรือ Thunderbird เมื่อพยายามดึงข้อมูลประจำตัวจาก Outlook มัลแวร์จะเข้าถึงรีจิสทรีของ Windows ก่อนเพื่อเรียกค้นคีย์แอปพลิเคชันที่จำเป็น รวมทั้งค่า 'ผู้ใช้ IMAP' 'เซิร์ฟเวอร์ IMAP' และ 'รหัสผ่าน IMAP' ในการถอดรหัสข้อมูลเป้าหมายซึ่งเก็บไว้ในอุปกรณ์ในรูปแบบที่เข้ารหัส StrelaStealer จะใช้ประโยชน์จากคุณลักษณะ Windows CryptUnproctectData

หรือเมื่อกำหนดเป้าหมายไปที่ Mozilla Thunderbird ภัยคุกคามจะทำการค้นหาสองครั้งแยกกันภายในไดเรกทอรี '%APPDATA%\Thunderbird\Profiles\' การค้นหาครั้งแรกจะเป็นการค้นหา 'logins.json' ที่มีบัญชีและรหัสผ่านของเหยื่อ ในขณะที่การค้นหาครั้งที่สองจะเป็น 'key4.db' ซึ่งเป็นฐานข้อมูลรหัสผ่าน

การเข้าถึงอีเมลของเป้าหมายจะช่วยให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นการฉ้อโกงได้มากมาย พวกเขาสามารถประนีประนอมข้อมูลที่พบในข้อความอีเมลของบัญชีที่ถูกละเมิดหรือพยายามเข้าควบคุมบัญชีเพิ่มเติมที่เกี่ยวข้องกับอีเมล พวกเขายังอาจคาดเดาตัวตนของเหยื่อและเริ่มส่งข้อความล่อ เผยแพร่ข้อมูลที่ผิดหรือคุกคามจากมัลแวร์ ขอเงิน ฯลฯ