電子メール認証情報を狙う StrelaStealer

StrelaStealer は、新たに発見されたマルウェア アプリケーションの名前で、被害者から電子メールのログイン資格情報を盗むという単一の目的で作成されています。

StrelaStealer は、2022 年 11 月の前半に初めて発見されました。このマルウェアは、主にスペインにいる被害者を標的にしているようです。 StrelaStealer を拡散するキャンペーンは、悪意のあるディスク イメージの .ISO ファイルを使用してマルウェアを拡散しています。

各攻撃の詳細は少し異なります。セキュリティ研究者は、「msinfo32.exe」という名前のファイルを保持しているマルウェア ISO を発見しました。これは、スティーラーをロードするために使用される悪意のあるミドルウェア アプリです。

StrelaStealer ISO ファイルの別のインスタンスでは、2 つの異なるファイル タイプ (この場合は DLL と HTML ファイル) として機能する Polyglot ファイルが使用されていました。悪意のある ISO イメージには、ショートカット .lnk ファイルと「x.html」と呼ばれるファイルが含まれており、DLL と HTML ファイルの両方として、2 つの異なる Polyglot バリアントを使用して 2 回読み込まれます。

攻撃チェーンは、マルウェアがブラウザー ウィンドウで HTML 形式の悪意のあるドキュメントを開くことで最高潮に達します。

マルウェアは、感染したマシンにインストールされている Thunderbird および Outlook 電子メール クライアントからログイン情報を取得しようとします。