Araştırmacılar, kullanıcının e-postasının peşinden giden yeni bir kötü amaçlı kampanya keşfetti (yeni sekmede açılır) Giriş kimlik.
DSCO CyTec’in siber güvenlik uzmanları, İspanyolca konuşan Outlook ve Thunderbird e-posta istemcisi kullanıcılarından oturum açma kimlik bilgilerini çalmak için aktif olarak kullanılan “StrelaStealer” adlı bir bilgi hırsızı buldu.
Kampanya sadece ilk kez gözlemlendi, bu da nispeten yeni olabileceğini ve bu nedenle uzmanlar iç işleyişini çözene kadar muhtemelen daha tehlikeli olabileceğini düşündürüyor.
Saldırılar, diğer kampanyalarla hemen hemen aynı şekilde başlar – bir kimlik avı e-postası ile.
Şimdiye kadar, araştırmacılar iki farklı e-posta kampanyası keşfettiler; bunlardan biri, bir “msinfo32.exe” yürütülebilir dosyasıyla birlikte bir ISO dağıtıyor ve bu, birlikte verilen kötü amaçlı yazılımı DLL sipariş ele geçirme yoluyla yandan yüklüyor. Muhtemelen daha ilginç olan ikincisi, ISO’da iki dosya paylaşıyor – bir Factura.lnk kısayol dosyası ve bir x.html tarayıcı belgesi.
İkincisinin daha sonra çok dilli bir dosya olduğu bulundu – onu açan uygulamaya bağlı olarak farklı biçimler olarak ele alınabilen bir dosya.
Böylece, kurban kısayol dosyasını çalıştırdığında, HTML dosyasını iki kez çalıştıracaktır – bir kez StrelaStealer’ı yükleyen bir DLL olarak ve bir kez de tarayıcıda bir tuzak belge açan bir HTML dosyası olarak. Bu şekilde kurban, arka planda kötü amaçlı bir dosyanın yüklendiğinden şüphelenmez.
Hedef uç noktasından olabildiğince fazla bilgi almaya çalışan çoğu bilgi hırsızının aksine, StrelaStealer benzersiz bir canavardır, çünkü yalnızca e-posta oturum açma kimlik bilgilerinin peşinden gider.
Thunderbird kullanıcıları için, kötü amaçlı yazılım %APPDATA%ThunderbirdProfiles’ dizininde ‘logins.json’ ve ‘key4.db’ için arama yapacaktır. Onları bulursa, onları C2 sunucusuna sızdırır. Outlook kullanıcıları için, kötü amaçlı yazılım, yazılımın anahtarını bulmak için Windows Kayıt Defterini okuyacak ve ardından sızmak için IMAP Kullanıcısı, IMAP Sunucusu ve IMAP Parolası değerlerini bulacaktır.
Şimdiye kadar, kötü amaçlı yazılım yalnızca İspanyolca konuşan topluluğu hedef aldı ve medyanın yüksek düzeyde hedefli saldırılarda kullanıldığına dair spekülasyon yapmasına neden oldu.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)