StrelaStealer
StrelaStealer 是一种专门的恶意软件威胁,攻击者使用它来破坏受害者的电子邮件帐户凭据。该威胁专门用于从 Microsoft Outlook 和 Mozilla Thunderbird 电子邮件客户端提取帐户凭据。网络安全研究人员发布的一份报告中提供了有关 StrelaStealer 及其运作方式的信息。根据他们的调查结果,该威胁主要通过垃圾邮件活动针对讲西班牙语的用户。
StrelaStealer 使用两种不同的技术来获取目标数据,具体取决于它是攻击 Outlook 还是 Thunderbird。当试图从 Outlook 中提取凭据时,恶意软件将首先访问 Windows 注册表以检索必要的应用程序密钥,以及“IMAP 用户”、“IMAP 服务器”和“IMAP 密码”值。为了解密以加密形式保存在设备上的目标信息,StrelaStealer 将利用 Windows CryptUnproctectData 功能。
或者,当它针对 Mozilla Thunderbird 时,威胁将首先在 '%APPDATA%\Thunderbird\Profiles\' 目录中执行两个单独的搜索。第一次搜索将搜索包含受害者帐户和密码的“logins.json”,而第二次搜索将搜索“key4.db”,这是一个密码数据库
获得对目标电子邮件的访问权限将使攻击者能够执行大量欺诈活动。他们可以破坏在被破坏帐户的电子邮件中发现的数据,或者尝试接管与电子邮件关联的其他帐户。他们还可以假设受害者的身份并开始发送引诱信息、传播错误信息或恶意软件威胁、索要钱财等。
