Новый зловред нацелен на похищение учетных записей Outlook и Thunderbird

Эксперты по кибербезопасности из DSCO CyTec обнаружили, что программа «StrelaStealer» активно используется для кражи учетных данных для входа в систему у пользователей почтовых клиентов Outlook и Thunderbird.

Новый зловред нацелен на похищение учетных записей Outlook и Thunderbird. Фото: СС0

Атаки начинаются с фишингового письма. На данный момент исследователи обнаружили два варианта. При использовании одного из них, распространяется ISO-образ с исполняемым файлом «msinfo32.exe». Он, в свою очередь, загружает связанное вредоносное ПО с помощью перехвата порядка DLL. Второй вариант включает два общих файла в ISO — файл ярлыка Factura.lnk и документ браузера x.html.

Последний - файл-полиглот. Он имеет разные форматы, в зависимости от открывающего его приложения.

Таким образом, когда жертва запускает файл ярлыка, она запускает HTML-файл дважды: один раз как DLL, который загружает StrelaStealer, и один раз как HTML-файл, который открывает документ-приманку в браузере. Таким образом, жертва не подозревает, что вредоносный файл был загружен в фоновом режиме.

В отличие от большинства инфостилеров, которые стремятся получить как можно больше информации с целевой конечной точки, StrelaStealer — уникальный продукт, поскольку он работает только после кражи учетных данных для входа в систему по электронной почте.

Для пользователей Thunderbird вредоносная программа будет искать в каталоге %APPDATA%\Thunderbird\Profiles\ файлы «logins.json» и «key4.db». Если она их находит, то эксфильтрирует их на сервер C2. Для пользователей Outlook вредоносная программа будет читать реестр Windows, чтобы найти ключ программного обеспечения, а затем находить значения пользователя IMAP, сервера IMAP и пароля IMAP для эксфильтрации.

Пока вредоносное ПО нацелено только на испаноязычное сообщество, что побудило СМИ предположить, что оно используется в узконаправленных атаках.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме