Исследователи обнаружили новую вредоносную кампанию, атакующую электронную почту пользователя. (откроется в новой вкладке) учетные данные для входа.
Эксперты по кибербезопасности из DSCO CyTec обнаружили, что программа для кражи информации под названием «StrelaStealer» активно используется для кражи учетных данных для входа в систему у испаноязычных пользователей почтовых клиентов Outlook и Thunderbird.
Кампания только что наблюдалась в первый раз, что позволяет предположить, что она может быть относительно новой и, как таковая, возможно, более опасной, пока эксперты не раскроют ее внутреннюю работу.
Полиглот файлы
Атаки начинаются так же, как и другие кампании — с фишингового письма.
На данный момент исследователи обнаружили две разные кампании по электронной почте, одна из которых распространяла ISO-образ с исполняемым файлом «msinfo32.exe», который загружает связанное вредоносное ПО с помощью перехвата порядка DLL. Второй, возможно, более интересный, имеет два общих файла в ISO — файл ярлыка Factura.lnk и документ браузера x.html.
Последний впоследствии оказался файлом-полиглотом — файлом, который можно рассматривать как разные форматы, в зависимости от открывающего его приложения.
Таким образом, когда жертва запускает файл ярлыка, она запускает HTML-файл дважды: один раз как DLL, которая загружает StrelaStealer, и один раз как HTML-файл, который открывает документ-приманку в браузере. Таким образом, жертва не подозревает, что вредоносный файл был загружен в фоновом режиме.
В отличие от большинства инфостилеров, которые стремятся получить как можно больше информации с целевой конечной точки, StrelaStealer — уникальный зверь, поскольку он работает только после учетных данных для входа в систему по электронной почте.
Для пользователей Thunderbird вредоносная программа будет искать в каталоге %APPDATA%\Thunderbird\Profiles\ файлы «logins.json» и «key4.db». Если он их находит, он эксфильтрирует их на сервер C2. Для пользователей Outlook вредоносная программа будет читать реестр Windows, чтобы найти ключ программного обеспечения, а затем находить значения пользователя IMAP, сервера IMAP и пароля IMAP для эксфильтрации.
Пока что вредоносное ПО нацелено только на испаноязычное сообщество, что побудило СМИ предположить, что оно используется в целенаправленных атаках.
С помощью: BleepingКомпьютер (откроется в новой вкладке)