Новый вредонос StrelaStealer крадет учетки из Outlook и Thunderbird

Татьяна Никитина 10 Ноября 2022 - 16:27

...

Новый вредонос StrelaStealer крадет учетки из Outlook и Thunderbird

В дикой природе обнаружен не известный ранее инфостилер, которого интересуют только ключи от почтовых ящиков. Вредоносы этого класса обычно крадут данные из различных приложений — браузеров, FTP- и VPN-клиентов, криптокошельков, Steam. Новобранец с кодовым именем StrelaStealer ищет в системе лишь Outlook и Thunderbird.

Кастомного Windows-зловреда раздают в ISO-файлах, вложенных в поддельные письма. Первый образец попал в поле зрения DCSO CyTec в начале этого месяца. Содержимое ISO-вложения может быть различным. Исследователи пока нашли два варианта — исполняемый файл msinfo32.exe, загружающий StrelaStealer подменой DLL, и связку файлов LNK и HTML.

Последний более интересен, так как x.html представляет собой полиглотный (многоформатный) файл, способный ввести в заблуждение антивирус. Сигнатурные анализаторы обычно выполняют извлечение функций, характерных для формата файлов; идентификация формата в данном случае затруднительна, а поведение файла зависит от того, в каком приложении его открыли.

Файл x.html, по словам экспертов, может вести себя как HTML (отображает маскировочный документ в дефолтном браузере) и как DLL-программа, загружающая StrelaStealer.

За активацию полиглота отвечает файл Fractura.lnk, который исполняет его дважды — для запуска встроенной DLL инфостилера (с помощью rundll32.exe) и для загрузки документа-приманки в браузер.

Целевой вредонос при запуске ищет в папке %APPDATA%\Thunderbird\Profiles\ файлы logins.json (имя аккаунта, пароль) и key4.db (ключи для шифрования паролей). Их содержимое извлекается и отправляется на C2-сервер.

В случае с Outlook инфостилер читает системный реестр в поисках ключа к почтовому клиенту, а затем выявляет значения IMAP User, IMAP Server и IMAP Password. Пароль в IMAP Password зашифрован; для его получения StrelaStealer использует Windows-функцию CryptUnprotectData и отсылает результат на свой сервер.

Закончив отправку краденых данных, вредонос проверяет успешность доставки (по особому ответу с C2) и завершает свой процесс. Если подтверждение не получено, StrelaStealer выжидает секунду и повторяет вывод данных.

Поскольку маскировочный документ выполнен на испанском языке, а сам зловред специфичен, исследователи предположили, что вредоносные рассылки проводятся в рамках целевых атак. Других свидетельств пока не обнаружено.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

РТ-РЕД приобрела 30% капитала РЕД СОФТ

Яков Шпунт 10 Июня 2025 - 12:12

Корпорации РЕД СОФТ

Дочерняя структура Госкорпорации «Ростех» — компания «РТ-РЕД» — приобрела 30% капитала разработчика отечественного программного обеспечения «РЕД СОФТ». Сделка состоялась в рамках соглашения о стратегическом партнёрстве между компаниями. Финансовые условия не разглашаются.

Партнёрство направлено на совместное развитие экосистемы решений «РЕД СОФТ», создание корпоративных программных продуктов и программно-аппаратных комплексов, способствующих повышению эффективности бизнес-процессов.

Кроме того, сотрудничество предусматривает продвижение продукции вендора как на внутреннем, так и на внешних рынках. Компания «РТ-РЕД» была специально учреждена для развития взаимодействия сторон. Генеральным директором назначен Александр Кужекин.

«Партнёрство станет катализатором развития всей экосистемы российского софта. Оно поможет обеспечить не только технологический суверенитет, но и создать значительный экспортный потенциал совместных разработок. Это также ускорит цифровую трансформацию отечественной промышленности», — прокомментировал Александр Кужекин.

По словам генерального директора «РЕД СОФТ» Максима Анисимова, сотрудничество с «Ростехом» позволит компании ускорить развитие продуктовой линейки, реализовать новые масштабные проекты с технологическими партнёрами и предложить рынку — как российскому, так и международному — больше эффективных решений, включая те, что превосходят зарубежные аналоги.

Новый уровень взаимодействия будет способствовать достижению целей импортозамещения в ИТ-сфере, созданию условий для ускоренного экономического роста и укреплению позиций России в области высоких технологий.

Директор по цифровой трансформации Госкорпорации «Ростех» Максим Валин отметил, что компании уже имеют серьёзный опыт сотрудничества: на предприятиях «Ростеха» успешно используются система управления ИТ-инфраструктурой РЕД АДМ и операционная система РЕД ОС.

По его словам, новый формат партнёрства открывает дополнительные возможности для расширения продуктового портфеля и масштабирования отечественных ИТ-решений как в России, так и за её пределами.