StrelaStealer på jakt etter e-postlegitimasjon
StrelaStealer er navnet på en nylig oppdaget skadelig programvare som er laget med ett enkelt formål - å stjele e-postpåloggingsinformasjon fra ofre.
StrelaStealer ble først oppdaget i første halvdel av november 2022. Skadevaren ser ut til å være rettet først og fremst mot ofre i Spania. Kampanjen som sprer StrelaStealer bruker ondsinnede .ISO-filer for diskbilde for å spre skadelig programvare.
Spesifikasjonene for hvert angrep er litt forskjellige. Sikkerhetsforskere oppdaget skadelig programvare ISO som innehar en fil kalt "msinfo32.exe" - en ondsinnet mellomvare-app som brukes til å laste tyveren.
En annen forekomst av en StrelaStealer ISO-fil brukte en Polyglot-fil som fungerer som to forskjellige filtyper, i dette tilfellet en DLL- og en HTML-fil. Det ondsinnede ISO-bildet inneholder en snarvei .lnk-fil og en fil kalt "x.html" som lastes inn to ganger, ved å bruke de to forskjellige Polyglot-variantene - både som DLL og som HTML-fil.
Angrepskjeden kulminerer med at skadelig programvare åpner et ondsinnet dokument i HTML-format i et nettleservindu.
Skadevaren forsøker å skrape inn påloggingsinformasjon fra Thunderbird- og Outlook-e-postklienter som er installert på den infiserte maskinen.