Il nuovo malware StrelaStealer ruba i tuoi account Outlook e Thunderbird
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 10 Novembre 2022
Tags: #malware, #sicurezza, #privacy, #outlook, #thunderbird
Tags: #malware, #sicurezza, #privacy, #outlook, #thunderbird
Il nuovo malware StrelaStealer ruba i tuoi account Outlook e Thunderbird
Un nuovo malware per il furto di informazioni chiamato "StelaStealer" sta rubando attivamente le credenziali dell'account di posta elettronica da Outlook e Thunderbird, due client di posta elettronica ampiamente utilizzati.
Questo comportamento si discosta dalla maggior parte dei ladri di informazioni, che tentano di rubare dati da varie fonti di dati, inclusi browser, app di portafoglio di criptovaluta, app di giochi su cloud, appunti, ecc.
Il malware precedentemente sconosciuto è stato scoperto dagli analisti di DCSO CyTec, che riferiscono di averlo visto per la prima volta in natura all'inizio di novembre 2022, prendendo di mira gli utenti di lingua spagnola.
StrelaStealer arriva sul sistema della vittima tramite allegati di posta elettronica, attualmente file ISO con contenuto variabile.
In un esempio, l'ISO contiene un eseguibile ("msinfo32.exe") che esegue il sideload del malware in bundle tramite il dirottamento degli ordini DLL.
In un caso più interessante visto dagli analisti, l'ISO contiene un file LNK ('Factura.lnk') e un file HTML ('x.html'). Il file x.html è di particolare interesse perché è un file poliglotta, ovvero un file che può essere trattato come formati di file diversi a seconda dell'applicazione che lo apre.
In questo caso, x.html è sia un file HTML che un programma DLL in grado di caricare il malware StrelaStealer o visualizzare un documento esca nel browser Web predefinito.
Quando il file Fractura.lnk viene eseguito, eseguirà x.html due volte, prima utilizzando rundll32.exe per eseguire la DLL StrelaStealer incorporata e un'altra volta come HTML per caricare il documento esca nel browser, come mostrato nell'immagine seguente.
Una volta che il malware è stato caricato in memoria, il browser predefinito viene aperto per mostrare l'esca per rendere l'attacco meno sospetto.
Al momento dell'esecuzione, StrelaStealer cerca nella directory '%APPDATA%\Thunderbird\Profiles\' 'logins.json' (account e password) e 'key4.db' (database password) ed esfiltra il loro contenuto nel server C2.
Per Outlook, StrelaStealer legge il registro di Windows per recuperare la chiave del software, quindi individua i valori "Utente IMAP", "Server IMAP" e "Password IMAP".
La password IMAP contiene la password dell'utente in forma crittografata, quindi il malware utilizza la funzione CryptUnprotectData di Windows per decrittografarla prima che venga esfiltrata nel C2 insieme al server e ai dettagli dell'utente.
Infine, StrelaStealer convalida che il C2 ha ricevuto i dati controllando una risposta specifica e si chiude quando lo riceve. In caso contrario, entra in una sospensione di 1 secondo e riprova questa routine di furto di dati.
Poiché il malware viene diffuso utilizzando esche in lingua spagnola e si concentra su software molto specifici, può essere utilizzato in attacchi altamente mirati. Tuttavia, DCSO CyTec non ha potuto determinare di più sulla sua distribuzione.