StrelaStealer på jagt efter e-mail-legitimationsoplysninger
StrelaStealer er navnet på en nyopdaget malware-applikation, der er lavet med et enkelt formål - at stjæle e-mail-loginoplysninger fra ofre.
StrelaStealer blev først opdaget i første halvdel af november 2022. Malwaren ser ud til primært at være rettet mod ofre i Spanien. Kampagnen, der spreder StrelaStealer, bruger ondsindede .ISO-diskbilleder til at sprede malwaren.
Specifikationerne for hvert angreb er lidt forskellige. Sikkerhedsforskere opdagede, at malwaren ISO holder en fil med navnet "msinfo32.exe" - en ondsindet middleware-app, der bruges til at indlæse stjæleren.
En anden forekomst af en StrelaStealer ISO-fil brugte en Polyglot-fil, der fungerer som to forskellige filtyper, i dette tilfælde en DLL- og en HTML-fil. Det ondsindede ISO-billede indeholder en genvej .lnk-fil og en fil kaldet "x.html", der indlæses to gange ved at bruge dens to forskellige Polyglot-varianter - både som DLL og som HTML-fil.
Angrebskæden kulminerer med, at malware åbner et ondsindet dokument i HTML-format i et browservindue.
Malwaren forsøger at skrabe loginoplysninger fra Thunderbird- og Outlook-e-mail-klienter installeret på den inficerede maskine.