StrelaStealer

StrelaStealer ist eine spezialisierte Malware-Bedrohung, die von Angreifern verwendet wird, um die E-Mail-Konto-Anmeldeinformationen ihrer Opfer zu kompromittieren. Die Bedrohung wurde speziell entwickelt, um Kontoanmeldeinformationen aus Microsoft Outlook- und Mozilla Thunderbird-E-Mail-Clients zu extrahieren. Informationen über StrelaStealer und seine Funktionsweise wurden in einem von Cybersicherheitsforschern veröffentlichten Bericht bereitgestellt. Ihren Erkenntnissen zufolge richtete sich die Bedrohung über eine Spam-E-Mail-Kampagne hauptsächlich an spanischsprachige Benutzer.

StrelaStealer verwendet zwei verschiedene Techniken, um an die Zieldaten zu gelangen, je nachdem, ob es sich um einen Angriff auf Outlook oder Thunderbird handelt. Beim Versuch, Anmeldeinformationen aus Outlook zu extrahieren, greift die Malware zunächst auf die Windows-Registrierung zu, um den erforderlichen Anwendungsschlüssel sowie die Werte „IMAP-Benutzer“, „IMAP-Server“ und „IMAP-Passwort“ abzurufen. Um die Zielinformationen zu entschlüsseln, die in verschlüsselter Form auf dem Gerät gespeichert sind, nutzt StrelaStealer die Windows-Funktion CryptUnproctectData aus.

Alternativ führt die Bedrohung, wenn sie auf Mozilla Thunderbird abzielt, zunächst zwei separate Suchen im Verzeichnis „%APPDATA%\Thunderbird\Profiles\“ durch. Die erste Suche erfolgt nach „logins.json“, die das Konto und das Passwort des Opfers enthält, während die zweite Suche nach „key4.db“, einer Passwortdatenbank, erfolgt.

Der Zugriff auf die E-Mail des Ziels gibt den Angreifern die Möglichkeit, zahlreiche betrügerische Aktivitäten durchzuführen. Sie können die in den E-Mail-Nachrichten des angegriffenen Kontos gefundenen Daten kompromittieren oder versuchen, zusätzliche Konten zu übernehmen, die mit der E-Mail verknüpft sind. Sie könnten auch die Identität des Opfers annehmen und damit beginnen, lockende Nachrichten zu senden, Fehlinformationen oder Malware-Bedrohungen zu verbreiten, um Geld zu bitten usw.