StrelaStealer på jakt efter e-postuppgifter
StrelaStealer är namnet på en nyupptäckt skadlig programvara som är gjord med ett enda syfte - att stjäla inloggningsuppgifter för e-post från offer.
StrelaStealer upptäcktes för första gången under första halvan av november 2022. Skadlig programvara verkar främst riktas mot offer i Spanien. Kampanjen som sprider StrelaStealer använder skadliga .ISO-filer för diskavbildningar för att sprida skadlig programvara.
Detaljerna för varje attack är lite olika. Säkerhetsforskare upptäckte skadlig programvara ISO som innehar en fil med namnet "msinfo32.exe" - en skadlig mellanprogramsapp som används för att ladda stealern.
En annan instans av en StrelaStealer ISO-fil använde en Polyglot-fil som fungerar som två olika filtyper, i det här fallet en DLL- och en HTML-fil. Den skadliga ISO-bilden innehåller en genväg .lnk-fil och en fil som heter "x.html" som laddas två gånger, med sina två olika Polyglot-varianter - både som en DLL och som en HTML-fil.
Attackkedjan kulminerar med att skadlig programvara öppnar ett skadligt dokument i HTML-format i ett webbläsarfönster.
Skadlig programvara försöker skrapa inloggningsinformation från Thunderbird- och Outlook-e-postklienter som är installerade på den infekterade maskinen.
