Ένα νέο malware που κλέβει πληροφορίες και ονομάζεται “StrelaStealer“, αποσπά credentials για email accounts Outlook και Thunderbird. Τα Outlook και Thunderbird είναι δύο από τους πιο δημοφιλείς email clients στον κόσμο.
Τα περισσότερα malware κλοπής πληροφοριών ενεργούν προσπαθώντας να κλέψουν πληροφορίες από διάφορες πηγές δεδομένων, για παράδειγμα, προγράμματα περιήγησης, crypto wallets, εφαρμογές παιχνιδιών cloud και από το πρόχειρο.
Το νέο κακόβουλο λογισμικό ανακαλύφθηκε από αναλυτές της DCSO CyTec. Αναφέρουν ότι το malware παρατηρήθηκε για πρώτη φορά στις αρχές Νοεμβρίου 2022, με στόχο ισπανόφωνους χρήστες.
Δείτε επίσης: 15.000 ιστότοποι παραβιάστηκαν σε μια μαζική εκστρατεία Google SEO poisoning
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Το StrelaStealer εισέρχεται στο σύστημα του θύματος μέσω κακόβουλων συνημμένων σε email, τα οποία προς το παρόν είναι αρχεία ISO που περιέχουν διάφορους τύπους περιεχομένου.
Σε μια περίπτωση, το ISO περιελάμβανε ένα εκτελέσιμο αρχείο (“msinfo32.exe”) που φόρτωνε το κακόβουλο λογισμικό μέσω DLL order hijacking.
Μια πιο πρόσφατη περίπτωση που ανακαλύφθηκε από τους αναλυτές έδειξε ένα αρχείο LNK (‘Factura.lnk’) και ένα HTML file (‘x.html’) μέσα στο ISO. Το τελευταίο παρουσιάζει ενδιαφέρον, καθώς πρόκειται για ένα polyglot file – ένας τύπος αρχείου που μπορεί να ανοιχτεί σε διαφορετικές μορφές ανάλογα με την εφαρμογή ανοίγματος.
Σε αυτή την περίπτωση, το αρχείο x.html είναι ταυτόχρονα έγγραφο HTML και πρόγραμμα DLL που φορτώνει το StrelaStealer malware ή εμφανίζει ένα έγγραφο-δόλωμα στο προεπιλεγμένο πρόγραμμα περιήγησης στο διαδίκτυο.
Το αρχείο Factura.lnk θα εκτελέσει το x.html δύο φορές όταν εκτελεστεί – πρώτα χρησιμοποιώντας το rundll32.exe για να εκτελέσει το ενσωματωμένο StrelaStealer DLL και έπειτα ως HTML για να φορτώσει το έγγραφο δόλωμα στο πρόγραμμα περιήγησης (όπως φαίνεται στην παρακάτω εικόνα).
Δείτε επίσης: Το LockBit 3.0 διανέμεται μέσω του Amadey Bot
Το κακόβουλο λογισμικό φορτώνεται στη μνήμη και, στη συνέχεια, το δόλωμα εμφανίζεται στο προεπιλεγμένο πρόγραμμα περιήγησης για να μην κινήσει υποψίες.
StrelaStealer malware
Το StrelaStealer, κατά την εκτέλεσή του, αναζητά στον κατάλογο ‘%APPDATA%\Thunderbird\Profiles\’ το ‘logins.json‘ (λογαριασμός και κωδικός πρόσβασης) και το ‘key4.db‘ (βάση δεδομένων κωδικών πρόσβασης). Στη συνέχεια, στέλνει τα περιεχόμενά τους στον C2 server.
Για το Outlook, το StrelaStealer malware διαβάζει το Windows Registry για να ανακτήσει το software’s key και να εντοπίσει τα ‘IMAP User’, ‘IMAP Server’ και ‘IMAP Password’ values.
Το IMAP Password περιέχει τον κωδικό πρόσβασης χρήστη σε κρυπτογραφημένη μορφή, επομένως το κακόβουλο λογισμικό χρησιμοποιεί το CryptUnprotectData function των Windows για να τον αποκρυπτογραφήσει πριν προχωρήσει στην εξαγωγή του προς το C2 server μαζί με τα στοιχεία server και χρήστη.
Δείτε επίσης: Κακόβουλη browser επέκταση επιτρέπει στους hackers να πάρουν τον έλεγχο της συσκευής
Τέλος, το StrelaStealer επιβεβαιώνει ότι έχουν κλαπεί οι πληροφορίες από Outlook και Thunderbird email accounts και κλείνει όταν τα λάβει. Διαφορετικά, μπαίνει σε κατάσταση αναστολής λειτουργίας 1 δευτερολέπτου και επαναλαμβάνει αυτήν τη ρουτίνα κλοπής δεδομένων.
Δεδομένου ότι το κακόβουλο λογισμικό εξαπλώνεται χρησιμοποιώντας ισπανόφωνα δολώματα και εστιάζει σε πολύ συγκεκριμένο λογισμικό, χρησιμοποιείται μάλλον σε εξαιρετικά στοχευμένες επιθέσεις.
Περισσότερες λεπτομέρειες εδώ.
Προστασία από malware κλοπής πληροφοριών
Τα malware κλοπής πληροφοριών, όπως το νέο StrelaStealer , αποτελούν σημαντική απειλή.
Ευτυχώς, υπάρχουν μερικά βήματα που μπορείτε να λάβετε για να προστατεύσετε την επιχείρησή σας. Πρώτον, βεβαιωθείτε ότι όλοι οι υπάλληλοί σας χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης και ότι κατανοούν τη σημασία της εμπιστευτικότητας των κωδικών. Θα πρέπει επίσης να έχετε εφαρμόσει μια ασφαλή διαδικασία σύνδεσης που απαιτεί έλεγχο ταυτότητας δύο παραγόντων. Τέλος, φροντίστε να εγκαταστήσετε λογισμικό ασφαλείας σε όλες τις συσκευές της εταιρείας σας και να το διατηρείτε ενημερωμένο. Λαμβάνοντας αυτές τις προφυλάξεις, μπορείτε να βοηθήσετε στην προστασία της επιχείρησής σας από κακόβουλο λογισμικό που κλέβει πληροφορίες.
Πηγή: www.bleepingcomputer.com