StrelaStealer az e-mail hitelesítő adatokra vadászva
A StrelaStealer egy újonnan felfedezett rosszindulatú alkalmazás neve, amely egyetlen céllal készült – az áldozatok e-mail-bejelentkezési adatainak ellopása.
A StrelaStealer-t először 2022 novemberének első felében fedezték fel. Úgy tűnik, hogy a rosszindulatú program elsősorban a Spanyolországban élő áldozatokat célozza meg. A StrelaStealer-t terjesztő kampány rosszindulatú lemezkép .ISO fájlokat használ a kártevő terjesztésére.
Az egyes támadások sajátosságai kissé eltérőek. A biztonsági kutatók felfedezték az ISO rosszindulatú programot, amely egy "msinfo32.exe" nevű fájlt tartalmaz – egy rosszindulatú köztes szoftver alkalmazást, amelyet a lopás betöltésére használnak.
A StrelaStealer ISO-fájl egy másik példánya egy Polyglot-fájlt használt, amely két különböző fájltípusként működik, ebben az esetben egy DLL- és egy HTML-fájlként. A rosszindulatú ISO-képfájl egy parancsikont tartalmazó .lnk fájlt és egy „x.html” nevű fájlt tartalmaz, amely kétszer töltődik be, két különböző Polyglot-változattal – DLL-ként és HTML-fájlként is.
A támadási lánc azzal zárul, hogy a rosszindulatú program megnyit egy rosszindulatú dokumentumot HTML formátumban egy böngészőablakban.
A kártevő megpróbálja lekaparni a bejelentkezési adatokat a fertőzött gépre telepített Thunderbird és Outlook levelezőprogramokból.