StrelaStealer auf der Jagd nach E-Mail-Zugangsdaten

StrelaStealer ist der Name einer neu entdeckten Malware-Anwendung, die mit einem einzigen Zweck entwickelt wurde – dem Stehlen von E-Mail-Anmeldeinformationen von Opfern.

StrelaStealer wurde erstmals in der ersten Novemberhälfte 2022 entdeckt. Die Malware scheint hauptsächlich auf Opfer in Spanien abzuzielen. Die Kampagne zur Verbreitung von StrelaStealer verwendet bösartige Disk-Image-ISO-Dateien, um die Malware zu verbreiten.

Die Besonderheiten jedes Angriffs sind ein wenig anders. Sicherheitsforscher entdeckten die Malware-ISO, die eine Datei namens „msinfo32.exe“ enthielt – eine bösartige Middleware-App, die zum Laden des Diebs verwendet wird.

Eine andere Instanz einer StrelaStealer-ISO-Datei verwendete eine Polyglot-Datei, die als zwei verschiedene Dateitypen fungiert, in diesem Fall eine DLL- und eine HTML-Datei. Das bösartige ISO-Image enthält eine Verknüpfungs-.lnk-Datei und eine Datei namens „x.html“, die zweimal geladen wird, wobei ihre zwei verschiedenen Polyglot-Varianten verwendet werden – sowohl als DLL- als auch als HTML-Datei.

Die Angriffskette gipfelt darin, dass die Malware ein schädliches Dokument im HTML-Format in einem Browserfenster öffnet.

Die Malware versucht, Anmeldeinformationen von Thunderbird- und Outlook-E-Mail-Clients zu kratzen, die auf dem infizierten Computer installiert sind.