StrelaStealer w poszukiwaniu poświadczeń e-mail

StrelaStealer to nazwa nowo odkrytej szkodliwej aplikacji stworzonej w jednym celu – kradzieży danych logowania do poczty e-mail od ofiar.

StrelaStealer został po raz pierwszy wykryty w pierwszej połowie listopada 2022 roku. Wydaje się, że szkodliwe oprogramowanie atakuje głównie ofiary znajdujące się w Hiszpanii. Kampania rozprzestrzeniająca StrelaStealer wykorzystuje złośliwe pliki obrazów dysków .ISO do rozprzestrzeniania złośliwego oprogramowania.

Specyfika każdego ataku jest nieco inna. Badacze bezpieczeństwa odkryli, że ISO złośliwego oprogramowania przechowuje plik o nazwie „msinfo32.exe” – złośliwa aplikacja pośrednicząca, która służy do ładowania złodzieja.

Inna instancja pliku ISO StrelaStealer wykorzystywała plik Polyglot, który działa jako dwa różne typy plików, w tym przypadku plik DLL i plik HTML. Złośliwy obraz ISO zawiera plik skrótu .lnk oraz plik o nazwie „x.html”, który jest ładowany dwukrotnie, przy użyciu dwóch różnych wariantów Polyglot – zarówno jako plik DLL, jak i jako plik HTML.

Łańcuch ataków kończy się otwarciem przez szkodliwe oprogramowanie złośliwego dokumentu w formacie HTML w oknie przeglądarki.

Złośliwe oprogramowanie próbuje wyłuskać dane logowania z klientów poczty Thunderbird i Outlook zainstalowanych na zainfekowanej maszynie.