StrelaStealer στο κυνήγι διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου
Το StrelaStealer είναι το όνομα μιας εφαρμογής κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα και δημιουργείται με έναν μόνο σκοπό - την κλοπή διαπιστευτηρίων σύνδεσης μέσω email από τα θύματα.
Το StrelaStealer ανακαλύφθηκε για πρώτη φορά το πρώτο μισό του Νοεμβρίου 2022. Το κακόβουλο λογισμικό φαίνεται να στοχεύει κυρίως θύματα που βρίσκονται στην Ισπανία. Η καμπάνια που διαδίδει το StrelaStealer χρησιμοποιεί κακόβουλα αρχεία εικόνας δίσκου .ISO για τη διάδοση του κακόβουλου λογισμικού.
Οι ιδιαιτερότητες κάθε επίθεσης είναι λίγο διαφορετικές. Οι ερευνητές ασφαλείας ανακάλυψαν το κακόβουλο λογισμικό ISO που περιέχει ένα αρχείο με το όνομα "msinfo32.exe" - μια κακόβουλη εφαρμογή ενδιάμεσου λογισμικού που χρησιμοποιείται για τη φόρτωση του κλέφτη.
Μια άλλη περίπτωση ενός αρχείου ISO του StrelaStealer χρησιμοποίησε ένα αρχείο Polyglot που λειτουργεί ως δύο διαφορετικοί τύποι αρχείων, σε αυτήν την περίπτωση, ένα αρχείο DLL και ένα αρχείο HTML. Η κακόβουλη εικόνα ISO περιέχει μια συντόμευση αρχείο .lnk και ένα αρχείο που ονομάζεται "x.html" που φορτώνεται δύο φορές, χρησιμοποιώντας τις δύο διαφορετικές παραλλαγές Polyglot - τόσο ως αρχείο DLL όσο και ως αρχείο HTML.
Η αλυσίδα επίθεσης κορυφώνεται με το κακόβουλο λογισμικό να ανοίγει ένα κακόβουλο έγγραφο σε μορφή HTML σε ένα παράθυρο του προγράμματος περιήγησης.
Το κακόβουλο λογισμικό επιχειρεί να αφαιρέσει πληροφορίες σύνδεσης από προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου Thunderbird και Outlook που είναι εγκατεστημένα στο μολυσμένο μηχάνημα.
