StrelaStealer az e-mail hitelesítő adatokra vadászva

A StrelaStealer egy újonnan felfedezett rosszindulatú alkalmazás neve, amely egyetlen céllal készült – az áldozatok e-mail-bejelentkezési adatainak ellopása.

A StrelaStealer-t először 2022 novemberének első felében fedezték fel. Úgy tűnik, hogy a rosszindulatú program elsősorban a Spanyolországban élő áldozatokat célozza meg. A StrelaStealer-t terjesztő kampány rosszindulatú lemezkép .ISO fájlokat használ a kártevő terjesztésére.

Az egyes támadások sajátosságai kissé eltérőek. A biztonsági kutatók felfedezték az ISO rosszindulatú programot, amely egy "msinfo32.exe" nevű fájlt tartalmaz – egy rosszindulatú köztes szoftver alkalmazást, amelyet a lopás betöltésére használnak.

A StrelaStealer ISO-fájl egy másik példánya egy Polyglot-fájlt használt, amely két különböző fájltípusként működik, ebben az esetben egy DLL- és egy HTML-fájlként. A rosszindulatú ISO-képfájl egy parancsikont tartalmazó .lnk fájlt és egy „x.html” nevű fájlt tartalmaz, amely kétszer töltődik be, két különböző Polyglot-változattal – DLL-ként és HTML-fájlként is.

A támadási lánc azzal zárul, hogy a rosszindulatú program megnyit egy rosszindulatú dokumentumot HTML formátumban egy böngészőablakban.

A kártevő megpróbálja lekaparni a bejelentkezési adatokat a fertőzött gépre telepített Thunderbird és Outlook levelezőprogramokból.