Und wenn er nach einem Täuschungsmanöver endlich aktiv ist, sammelt StrelaStealer fleißig Zugangsdaten und schickt sie seinem Schöpfer.
Eine neue Malware mit dem Namen „StrelaStealer“ hat es auf Zugangsdaten zu E-Mail-Konten aus Outlook und Thunderbird abgesehen. Durch ein geschicktes Täuschungsmanöver versuchen die Schöpfer des Infostealers ihre Opfer von seiner Aktivierung abzulenken. Doch sobald er frei ist, telefoniert er fleißig nach Hause, bis sein Gesprächspartner den Hörer auflegt.
StrelaStealer ist genügsam – er will nur E-Mail-Konten
Sicherheitsforscher haben eine neue Malware ausfindig gemacht, die Anmeldeinformationen für E-Mail-Konten aus Outlook und Thunderbird stiehlt. Damit unterscheidet sich die Strategie der StrelaStealer genannten Schadsoftware von derjenigen anderer Infostealer.
Denn die meisten bösartigen Anwendungen dieser Art haben es auf Daten aus vielen verschiedenen Quellen gleichzeitig abgesehen. Diese greifen sie mitunter aus Webbrowsern, lokalen Apps oder gar der Zwischenablage des Betriebssystems ab. Dass ein Infostealer ausschließlich E-Mail-Konten ins Visier nimmt, ist jedoch eine Seltenheit.
Der von Analysten von DCSO CyTec entdeckte StrelaStealer ist dem Bericht der Sicherheitsexperten zufolge Anfang November 2022 erstmals bei spanischsprachigen Nutzern aufgetaucht. Er gelangt über ISO-Dateien als E-Mail-Anhang in die Postfächer seiner Opfer. Von dort aus bahnt er sich seinen Weg ins System.
Täuschungsmanöver soll Benutzer ablenken
Wie BleepingComputer berichtet, demonstrieren die Forscher den Ablauf einer Infektion anhand eines Beispiels, bei dem die ISO-Datei eine ausführbare „msinfo32.exe“ enthält, die die tatsächliche Malware schließlich per DLL-Hijacking nachlädt.
In einem anderen Fall hingegen enthielt die ISO-Datei eine „Factura.lnk“ und eine „x.html„, wobei es sich bei Letzterer um eine polyglotte Datei handelt. Das bedeutet, dass sie unterschiedliche Dateiformate zugleich annehmen kann.
Infolgedessen dient sie einerseits als HTML-Datei, die in einem Webbrowser ein Dokument anzeigen und somit den Benutzer täuschen und ablenken kann. Andererseits ist sie auch ein DLL-Programm, das den StrelaStealer ausführt. Beide Varianten werden nacheinander von der „Factura.lnk“ aufgerufen.
Ist der StrelaStealer erst mal frei, schickt er nach Hause allerlei …
Ist der StrelaStealer schließlich aktiv, so sucht er nach den Dateien „logins.json“ und „key4.db“ im Verzeichnis „%APPDATA%\Thunderbird\Profiles\“. Denn darin legt der Thunderbird Anmeldeinformationen aller eingerichteten E-Mail-Konten ab. Hat die Malware diese gefunden, so übermittelt sie die Inhalte an den Command-and-Control-Server (C2) der Angreifer.
Um Konten aus Outlook abzugreifen, durchsucht der StrelaStealer den Schlüssel „HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\“ aus der Windows-Registry nach den Werten „IMAP User„, „IMAP Server“ und „IMAP Password„. Mithilfe der Windows-Funktion CryptUnprotectData entschlüsselt er das Kennwort und übermittelt daraufhin ebenfalls alle Daten an den C2.
Regulär antwortet der Server auf die empfangenen Informationen, um deren Erhalt zu bestätigen. Nur wenn die letzten beiden Zeichen der Antwort „KH“ sind, beendet sich der StrelaStealer. Die Forscher nehmen daher an, dass diese Buchstaben eine erfolgreiche Übertragung signalisieren. Bleibt die Bestätigung aus, so pausiert die Malware für eine Sekunde und sendet die erbeuteten Daten daraufhin erneut.