Новый вредонос StrelaStealer крадет учетки из Outlook и Thunderbird

Татьяна Никитина 10 Ноября 2022 - 16:27

...

Новый вредонос StrelaStealer крадет учетки из Outlook и Thunderbird

В дикой природе обнаружен не известный ранее инфостилер, которого интересуют только ключи от почтовых ящиков. Вредоносы этого класса обычно крадут данные из различных приложений — браузеров, FTP- и VPN-клиентов, криптокошельков, Steam. Новобранец с кодовым именем StrelaStealer ищет в системе лишь Outlook и Thunderbird.

Кастомного Windows-зловреда раздают в ISO-файлах, вложенных в поддельные письма. Первый образец попал в поле зрения DCSO CyTec в начале этого месяца. Содержимое ISO-вложения может быть различным. Исследователи пока нашли два варианта — исполняемый файл msinfo32.exe, загружающий StrelaStealer подменой DLL, и связку файлов LNK и HTML.

Последний более интересен, так как x.html представляет собой полиглотный (многоформатный) файл, способный ввести в заблуждение антивирус. Сигнатурные анализаторы обычно выполняют извлечение функций, характерных для формата файлов; идентификация формата в данном случае затруднительна, а поведение файла зависит от того, в каком приложении его открыли.

Файл x.html, по словам экспертов, может вести себя как HTML (отображает маскировочный документ в дефолтном браузере) и как DLL-программа, загружающая StrelaStealer.

За активацию полиглота отвечает файл Fractura.lnk, который исполняет его дважды — для запуска встроенной DLL инфостилера (с помощью rundll32.exe) и для загрузки документа-приманки в браузер.

Целевой вредонос при запуске ищет в папке %APPDATA%\Thunderbird\Profiles\ файлы logins.json (имя аккаунта, пароль) и key4.db (ключи для шифрования паролей). Их содержимое извлекается и отправляется на C2-сервер.

В случае с Outlook инфостилер читает системный реестр в поисках ключа к почтовому клиенту, а затем выявляет значения IMAP User, IMAP Server и IMAP Password. Пароль в IMAP Password зашифрован; для его получения StrelaStealer использует Windows-функцию CryptUnprotectData и отсылает результат на свой сервер.

Закончив отправку краденых данных, вредонос проверяет успешность доставки (по особому ответу с C2) и завершает свой процесс. Если подтверждение не получено, StrelaStealer выжидает секунду и повторяет вывод данных.

Поскольку маскировочный документ выполнен на испанском языке, а сам зловред специфичен, исследователи предположили, что вредоносные рассылки проводятся в рамках целевых атак. Других свидетельств пока не обнаружено.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Июля 2025 - 16:24

Брутфорс Целевые атаки Таргетированные атаки Государство Парольная защита (пароли)

Почти половина веб-атак на госорганизации — это попытки подбора паролей

С начала 2025 года самой распространённой веб-угрозой для госсектора стал брутфорс — атаки на учётные записи путём подбора паролей. По данным компании «Вебмониторэкс», такие попытки взлома составили почти 50% всех веб-атак на госструктуры за первые шесть месяцев года.

Госсектор — единственная отрасль, где подобные атаки стабильно занимают первое место.

Причём речь идёт в основном не о простом переборе паролей из словаря, а о credential stuffing — когда злоумышленники используют уже скомпрометированные логины и пароли, утекшие с других сайтов и сервисов. Эти данные загружаются в специальные программы и массово прогоняются через форму авторизации. Такие атаки часто идут с тысяч разных IP-адресов.

Всего за первое полугодие 2025 года было зафиксировано почти 600 миллионов веб-атак на российские организации. В среднем на одну госструктуру приходилось около миллиона атак.

В исследовании проанализированы данные более 170 крупных организаций из разных отраслей — от госсектора и ИТ до ритейла, финансов, здравоохранения и промышленности.

Как поясняет генеральный директор компании Анастасия Афонина, у большинства граждан есть аккаунты на госпорталах, но лишь немногие всерьёз задумываются о безопасности. Многие используют одни и те же пароли на разных сайтах и годами не меняют их. Учитывая частые утечки данных в последние годы, это серьёзно повышает риски. Взлом аккаунта может привести не только к краже личных данных, но и к более серьёзным последствиям — например, оформлению кредита или проведению сделки от имени пользователя.

Кроме того, целью атак могут быть и служебные учётные записи — в этом случае под угрозой оказывается уже не личная, а конфиденциальная или даже секретная информация. А если удастся получить доступ к аккаунту администратора, последствия могут быть критическими.

Чтобы защититься от таких атак, эксперты советуют:

включать двухфакторную аутентификацию;
ограничивать число попыток входа;
использовать сложные пароли и регулярно их менять;
не хранить рабочие пароли на личных устройствах;
использовать защитные решения на уровне веб-приложений, способные отфильтровывать подозрительный трафик и массовые попытки подбора пароля.

Обычным пользователям также рекомендуют пользоваться менеджерами паролей — так проще хранить и использовать сложные комбинации, не запоминая их.