StrelaHırsız

StrelaStealer, saldırganlar tarafından kurbanlarının e-posta hesabı kimlik bilgilerini ele geçirmek için kullanılan özel bir kötü amaçlı yazılım tehdididir. Tehdit, Microsoft Outlook ve Mozilla Thunderbird e-posta istemcilerinden hesap kimlik bilgilerini çıkarmak için özel olarak tasarlanmıştır. Siber güvenlik araştırmacıları tarafından yayınlanan bir raporda StrelaStealer ve çalışma şekli hakkında bilgi verildi. Bulgularına göre, tehdit çoğunlukla bir spam e-posta kampanyası yoluyla İspanyolca konuşan kullanıcıları hedef aldı.

StrelaStealer, Outlook'a mı yoksa Thunderbird'e mi saldırdığına bağlı olarak, hedeflenen verileri elde etmek için iki farklı teknik kullanır. Outlook'tan kimlik bilgilerini çıkarmaya çalışırken, kötü amaçlı yazılım önce gerekli uygulama anahtarının yanı sıra 'IMAP Kullanıcısı', 'IMAP Sunucusu' ve 'IMAP Parolası' değerlerini almak için Windows Kayıt Defterine erişir. StrelaStealer, cihazda şifrelenmiş bir biçimde tutulan hedeflenen bilgilerin şifresini çözmek için Windows CryptUnproctectData özelliğinden yararlanacaktır.

Alternatif olarak, Mozilla Thunderbird'ü hedeflerken, tehdit önce '%APPDATA%\Thunderbird\Profiles\' dizini içinde iki ayrı arama yapacaktır. İlk arama kurbanın hesabını ve şifresini içeren 'logins.json' için olurken, ikinci arama bir şifre veri tabanı olan 'key4.db' için olacaktır.

Hedefin e-postasına erişim sağlamak, saldırganlara çok sayıda hileli faaliyet gerçekleştirme olanağı sağlayacaktır. İhlal edilen hesabın e-posta mesajlarında bulunan verileri tehlikeye atabilir veya e-postayla ilişkili ek hesapları devralmaya çalışabilirler. Ayrıca kurbanın kimliğini üstlenebilir ve cezbedici mesajlar göndermeye, yanlış bilgi veya kötü amaçlı yazılım tehditleri yaymaya, para istemeye vb. başlayabilirler.