„StrelaStealer“ ieško el. pašto kredencialų

„StrelaStealer“ yra naujai aptiktos kenkėjiškos programos pavadinimas, kuri sukurta vienu tikslu – vogti aukų el. pašto prisijungimo duomenis.

„StrelaStealer“ pirmą kartą buvo aptikta 2022 m. lapkričio mėn. pirmoje pusėje. Panašu, kad kenkėjiška programa pirmiausiai nukreipta į aukas, esančias Ispanijoje. Kampanija, platinanti StrelaStealer, naudoja kenkėjiškus disko vaizdo .ISO failus, kad platintų kenkėjišką programą.

Kiekvienos atakos specifika šiek tiek skiriasi. Saugumo tyrėjai aptiko kenkėjišką programą ISO, kurioje yra failas pavadinimu „msinfo32.exe“ – kenkėjiška tarpinė programinė įranga, kuri naudojama vagių įkėlimui.

Kitas StrelaStealer ISO failo pavyzdys naudojo Polyglot failą, kuris veikia kaip du skirtingi failų tipai, šiuo atveju DLL ir HTML failas. Kenkėjiškame ISO atvaizde yra nuorodos .lnk failas ir failas pavadinimu „x.html“, kuris įkeliamas du kartus, naudojant du skirtingus „Polyglot“ variantus – ir kaip DLL, ir kaip HTML failą.

Atakos grandinė baigiasi tuo, kad kenkėjiška programa naršyklės lange atidaro kenkėjišką dokumentą HTML formatu.

Kenkėjiška programa bando nuskaityti prisijungimo informaciją iš Thunderbird ir Outlook el. pašto programų, įdiegtų užkrėstame kompiuteryje.