StrelaStealer a la caza de credenciales de correo electrónico
StrelaStealer es el nombre de una aplicación de malware recientemente descubierta que se crea con un solo propósito: robar las credenciales de inicio de sesión de correo electrónico de las víctimas.
StrelaStealer se descubrió por primera vez en la primera quincena de noviembre de 2022. El malware parece estar dirigido principalmente a víctimas ubicadas en España. La campaña que propaga StrelaStealer utiliza archivos .ISO de imagen de disco malicioso para propagar el malware.
Los detalles de cada ataque son un poco diferentes. Los investigadores de seguridad descubrieron el malware ISO que contiene un archivo llamado "msinfo32.exe", una aplicación de middleware malicioso que se usa para cargar el ladrón.
Otra instancia de un archivo ISO de StrelaStealer utilizó un archivo Polyglot que funciona como dos tipos de archivos diferentes, en este caso, un archivo DLL y un archivo HTML. La imagen ISO maliciosa contiene un archivo .lnk de acceso directo y un archivo llamado "x.html" que se carga dos veces, utilizando sus dos variantes diferentes de Polyglot, como archivo DLL y como archivo HTML.
La cadena de ataque culmina cuando el malware abre un documento malicioso en formato HTML en una ventana del navegador.
El malware intenta extraer la información de inicio de sesión de los clientes de correo electrónico Thunderbird y Outlook instalados en la máquina infectada.