StrelaStealer à la recherche d'identifiants de messagerie
StrelaStealer est le nom d'une application malveillante récemment découverte qui est conçue dans un seul but : voler les identifiants de connexion aux e-mails des victimes.
StrelaStealer a été découvert pour la première fois dans la première moitié de novembre 2022. Le logiciel malveillant semble cibler principalement les victimes situées en Espagne. La campagne de diffusion StrelaStealer utilise des fichiers d'image disque .ISO malveillants pour diffuser le logiciel malveillant.
Les spécificités de chaque attaque sont un peu différentes. Les chercheurs en sécurité ont découvert le malware ISO contenant un fichier nommé "msinfo32.exe" - une application middleware malveillante utilisée pour charger le voleur.
Une autre instance d'un fichier ISO StrelaStealer utilisait un fichier Polyglot qui fonctionne comme deux types de fichiers différents, dans ce cas, une DLL et un fichier HTML. L'image ISO malveillante contient un fichier de raccourci .lnk et un fichier appelé "x.html" qui est chargé deux fois, en utilisant ses deux variantes Polyglot différentes - à la fois en tant que DLL et en tant que fichier HTML.
La chaîne d'attaque culmine lorsque le logiciel malveillant ouvre un document malveillant au format HTML dans une fenêtre de navigateur.
Le logiciel malveillant tente de récupérer les informations de connexion des clients de messagerie Thunderbird et Outlook installés sur la machine infectée.