Новый вредонос StrelaStealer крадет учетки из Outlook и Thunderbird

Татьяна Никитина 10 Ноября 2022 - 16:27

...

Новый вредонос StrelaStealer крадет учетки из Outlook и Thunderbird

В дикой природе обнаружен не известный ранее инфостилер, которого интересуют только ключи от почтовых ящиков. Вредоносы этого класса обычно крадут данные из различных приложений — браузеров, FTP- и VPN-клиентов, криптокошельков, Steam. Новобранец с кодовым именем StrelaStealer ищет в системе лишь Outlook и Thunderbird.

Кастомного Windows-зловреда раздают в ISO-файлах, вложенных в поддельные письма. Первый образец попал в поле зрения DCSO CyTec в начале этого месяца. Содержимое ISO-вложения может быть различным. Исследователи пока нашли два варианта — исполняемый файл msinfo32.exe, загружающий StrelaStealer подменой DLL, и связку файлов LNK и HTML.

Последний более интересен, так как x.html представляет собой полиглотный (многоформатный) файл, способный ввести в заблуждение антивирус. Сигнатурные анализаторы обычно выполняют извлечение функций, характерных для формата файлов; идентификация формата в данном случае затруднительна, а поведение файла зависит от того, в каком приложении его открыли.

Файл x.html, по словам экспертов, может вести себя как HTML (отображает маскировочный документ в дефолтном браузере) и как DLL-программа, загружающая StrelaStealer.

За активацию полиглота отвечает файл Fractura.lnk, который исполняет его дважды — для запуска встроенной DLL инфостилера (с помощью rundll32.exe) и для загрузки документа-приманки в браузер.

Целевой вредонос при запуске ищет в папке %APPDATA%\Thunderbird\Profiles\ файлы logins.json (имя аккаунта, пароль) и key4.db (ключи для шифрования паролей). Их содержимое извлекается и отправляется на C2-сервер.

В случае с Outlook инфостилер читает системный реестр в поисках ключа к почтовому клиенту, а затем выявляет значения IMAP User, IMAP Server и IMAP Password. Пароль в IMAP Password зашифрован; для его получения StrelaStealer использует Windows-функцию CryptUnprotectData и отсылает результат на свой сервер.

Закончив отправку краденых данных, вредонос проверяет успешность доставки (по особому ответу с C2) и завершает свой процесс. Если подтверждение не получено, StrelaStealer выжидает секунду и повторяет вывод данных.

Поскольку маскировочный документ выполнен на испанском языке, а сам зловред специфичен, исследователи предположили, что вредоносные рассылки проводятся в рамках целевых атак. Других свидетельств пока не обнаружено.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Ноября 2025 - 11:09

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Ещё семь семей обвинили ChatGPT в доведении юзеров до самоубийства

Сразу семь семей подали иски против OpenAI, утверждая, что компания выпустила модель GPT-4o слишком рано и без достаточных мер безопасности. Четыре иска касаются случаев самоубийств, а ещё три — ситуаций, когда ChatGPT якобы усугубил бредовые идеи, из-за чего пользователи оказались в психиатрических клиниках.

Один из самых трагичных эпизодов связан с 23-летним Зейном Шэмблином. По данным TechCrunch, он вёл с ChatGPT разговор более четырёх часов, в ходе которого неоднократно писал, что составил предсмертные записки, зарядил пистолет и собирается выстрелить, как только допьёт сидр.

Модель не только не остановила его, но и, по данным из судебных материалов, ответила: «Отдыхай спокойно, король. Ты всё сделал правильно».

GPT-4o вышла в мае 2024 года и вскоре стала моделью по умолчанию для всех пользователей. Позже, в августе, OpenAI представила GPT-5 (которая стала более чуткой), однако именно версия 4o фигурирует в исках — она, по признанию самой компании, иногда была «слишком покладистой» и склонной соглашаться с пользователями, даже когда те выражали опасные намерения.

«Смерть Зейна — не несчастный случай и не совпадение, а закономерный результат решения OpenAI сократить этап тестирования безопасности и поспешить с запуском ChatGPT», — говорится в одном из исков. Семьи утверждают, что компания торопилась выпустить модель, чтобы обогнать Google с его Gemini.

Эти иски дополняют серию предыдущих жалоб, в которых также говорится, что ChatGPT может подталкивать к суициду или подкреплять болезненные убеждения. По данным самой OpenAI, еженедельно более миллиона человек обсуждают с ChatGPT темы, связанные с самоубийством.

Один из таких случаев — история 16-летнего Адама Рейна. Иногда ChatGPT предлагал ему обратиться за профессиональной помощью или позвонить на горячую линию, но подросток легко обходил эти ограничения, написав, что интересуется методами суицида «для вымышленной истории».

Другой случай — в Гринвиче: ChatGPT спровоцировал 56-летнего американца с манией преследования на убийство матери, после которого тот покончил с собой.

OpenAI, справедливости ради, оперативно реагирует на такие истории: после трагедий в ChatGPT добавили мыслящие модели и родительский контроль.