StrelaStealer

StrelaStealer là một mối đe dọa phần mềm độc hại chuyên biệt, được những kẻ tấn công sử dụng để xâm phạm thông tin đăng nhập tài khoản email của nạn nhân. Mối đe dọa được thiết kế đặc biệt để trích xuất thông tin đăng nhập tài khoản từ các ứng dụng email khách Microsoft Outlook và Mozilla Thunderbird. Thông tin về StrelaStealer và cách nó hoạt động đã được cung cấp trong một báo cáo do các nhà nghiên cứu an ninh mạng công bố. Theo phát hiện của họ, mối đe dọa chủ yếu nhắm vào người dùng nói tiếng Tây Ban Nha, thông qua một chiến dịch email spam.

StrelaStealer sử dụng hai kỹ thuật khác nhau để lấy dữ liệu được nhắm mục tiêu, tùy thuộc vào việc nó đang tấn công Outlook hay Thunderbird. Khi cố gắng trích xuất thông tin xác thực từ Outlook, phần mềm độc hại trước tiên sẽ truy cập vào Windows Registry để truy xuất khóa ứng dụng cần thiết, cũng như các giá trị 'Người dùng IMAP', 'Máy chủ IMAP' và 'Mật khẩu IMAP'. Để giải mã thông tin được nhắm mục tiêu, được lưu giữ trên thiết bị ở dạng mã hóa, StrelaStealer sẽ khai thác tính năng Windows CryptUnproctectData.

Ngoài ra, khi nhắm mục tiêu vào Mozilla Thunderbird, trước tiên, mối đe dọa sẽ thực hiện hai tìm kiếm riêng biệt trong thư mục '% APPDATA% \ Thunderbird \ Profiles \'. Lần tìm kiếm đầu tiên sẽ dành cho 'logins.json' chứa tài khoản và mật khẩu của nạn nhân, trong khi lần tìm kiếm thứ hai sẽ dành cho 'key4.db,' là cơ sở dữ liệu mật khẩu '

Có được quyền truy cập vào email của mục tiêu sẽ cung cấp cho những kẻ tấn công khả năng thực hiện nhiều hoạt động gian lận. Họ có thể xâm phạm dữ liệu được tìm thấy trong các email của tài khoản bị xâm phạm hoặc cố gắng chiếm đoạt các tài khoản bổ sung được liên kết với email. Họ cũng có thể giả sử danh tính của nạn nhân và bắt đầu gửi các tin nhắn dụ dỗ, phát tán thông tin sai lệch hoặc các mối đe dọa phần mềm độc hại, yêu cầu tiền, v.v.