'Strelastealer' adlı yeni bir bilgi çalan kötü amaçlı yazılım, yaygın olarak kullanılan iki e-posta istemcisi Outlook ve Thunderbird'den e-posta hesabı kimlik bilgilerini aktif olarak çalıyor.
Bu davranış, tarayıcılar, kripto para birimi cüzdan uygulamaları, bulut oyun uygulamaları, pano, vb.
Daha önce bilinmeyen kötü amaçlı yazılımlar, DCSO Cytec'teki analistler tarafından keşfedildi, bu da onu ilk Kasım 2022'nin başlarında vahşi doğada gördüklerini ve İspanyolca konuşan kullanıcıları hedeflediklerini bildirdi.
Strelastealer, şu anda değişen içeriğe sahip ISO dosyaları olan e -posta ekleri aracılığıyla kurbanın sistemine gelir.
Bir örnekte, ISO, dll siparişi kaçırma yoluyla paketlenmiş kötü amaçlı yazılımları yönlendiren bir yürütülebilir ('MSINFO32.exe') içerir.
Analistler tarafından görülen daha ilginç bir durumda, ISO bir LNK dosyası ('factura.lnk') ve bir HTML dosyası ('x.html') içerir. X.html dosyası özellikle ilgi çekicidir, çünkü açılan uygulamaya bağlı olarak farklı dosya formatları olarak ele alınabilen bir dosya olan bir çoklu dosyadır.
Bu durumda, X.html hem bir HTML dosyası hem de Strelastealer kötü amaçlı yazılımları yükleyebilen veya varsayılan web tarayıcısında bir tuzak belgesi görüntüleyebilen bir DLL programıdır.
Fractura.lnk dosyası yürütüldüğünde, ilk önce Rundll32.exe kullanılarak X.html'yi iki kez yürütür ve gömülü Strelastealer DLL'yi çalıştırmak için, aşağıdaki resimde gösterildiği gibi tarayıcıya dekoy belgesini yüklemek için HTML olarak başka bir zamandır.
Kötü amaçlı yazılım belleğe yüklendikten sonra, saldırıyı daha az şüpheli hale getirmek için yemini göstermek için varsayılan tarayıcı açılır.
Yürütme üzerine Strelastealer, 'logins.json' (hesap ve şifre) ve 'Key4.db' (şifre veritabanı) için '%AppData%\ Thunderbird \ Profiles \' dizinini arar ve içeriklerini C2 sunucusuna ekler.
Outlook için Strelastealer, yazılımın anahtarını almak için Windows kayıt defterini okur ve daha sonra 'IMAP kullanıcısı', 'IMAP Server' ve 'IMAP şifresi' değerlerini bulur.
IMAP şifresi kullanıcı şifresini şifreli biçimde içerir, bu nedenle kötü amaçlı yazılım, sunucu ve kullanıcı ayrıntıları ile birlikte C2'ye eksfiltratlanmadan önce şifresini çözmek için Windows CryptunprotectData işlevini kullanır.
Son olarak, Strelastealer, C2'nin belirli bir yanıtı kontrol ederek verileri aldığını ve aldığında vazgeçtiğini doğrular. Aksi takdirde, 1 saniyelik bir uykuya girer ve bu veri hırsızlığı rutini yeniden kullanır.
Kötü amaçlı yazılım İspanyolca lures kullanılarak yayıldığından ve çok özel yazılıma odaklandığından, yüksek hedefli saldırılarda kullanılabilir. Ancak DCSO Cytec, dağılımı hakkında daha fazla şey belirleyemedi.
Drrinik Android kötü amaçlı yazılım artık 18 Hint bankasının kullanıcılarını hedefliyor
Lofygang Hackers, Discord, NPM hakkında kimlik bilgisi çalan bir işletme kurdu
Yeni Erbium şifre çalan kötü amaçlı yazılımlar oyun çatlakları, hileler olarak yayılır
OKTA: Kimlik bilgisi doldurma tüm giriş girişimlerinin% 34'ünü oluşturuyor
2K Games, Hacked Yardım Masası Hedefli Oyuncuları Kötü Yazılımlı Diyor
Kaynak: Bleeping Computer