StrelaStealer op jacht naar e-mailreferenties
StrelaStealer is de naam van een nieuw ontdekte malwaretoepassing die is gemaakt met maar één doel: het stelen van inloggegevens voor e-mail van slachtoffers.
StrelaStealer werd voor het eerst ontdekt in de eerste helft van november 2022. De malware lijkt zich voornamelijk te richten op slachtoffers in Spanje. De campagne die StrelaStealer verspreidt, gebruikt kwaadaardige .ISO-schijfkopiebestanden om de malware te verspreiden.
De bijzonderheden van elke aanval zijn een beetje anders. Beveiligingsonderzoekers ontdekten dat de malware-ISO een bestand bevat met de naam "msinfo32.exe" - een kwaadaardige middleware-app die wordt gebruikt om de stealer te laden.
Een ander exemplaar van een StrelaStealer ISO-bestand gebruikte een Polyglot-bestand dat functioneert als twee verschillende bestandstypen, in dit geval een DLL- en een HTML-bestand. De kwaadaardige ISO-image bevat een .lnk-snelkoppelingsbestand en een bestand met de naam "x.html" dat twee keer wordt geladen, met behulp van de twee verschillende Polyglot-varianten - zowel als DLL- als HTML-bestand.
De aanvalsketen culmineert in het openen van een kwaadaardig document in HTML-formaat door de malware in een browservenster.
De malware probeert inloggegevens te schrapen van Thunderbird- en Outlook-e-mailclients die op de geïnfecteerde computer zijn geïnstalleerd.