Lo spyware che ruba gli account di posta

Mentre la maggior parte dei malware simili si concentrano sul browser, StrelaStealer – celato dietro un falso file ISO o in un documento HTML – è in grado di accedere direttamente alle credenziali della posta elettronica, impossessandosi dell’archivio dove queste sono salvate. Diffuso tramite allegati di posta elettronica, il file contiene in realtà due file: un LNK e un HTML. Quest’ultimo, noto come “poliglotta”, perché può essere trattato in modo diverso a seconda dell’applicazione che lo apre, contiene la destinazione che appare dopo l’esecuzione dell’LNK, tramite rundll32.exe. A questo punto parte il payload principale del malware. Si apre il browser nel tentativo di fare credere all’utente che non ci sia nulla di strano. Ma non è così!
La DLL StrelaStealer cerca la directory Thunderbird e raccoglie i file logins.json e key4.db (i contenitori, in sostanza, delle informazioni necessarie per decrittografare le password memorizzate) e, allo stesso tempo, scansiona il registro di Windows a caccia dei dati sulle credenziali di Microsoft Outlook. Infine, utilizza la funzione Windows CryptUnprotectData per decrittografare il tutto. Terminato tutto ciò, invia i dati al server C2 dell’organizzazione criminale e il gioco è fatto.
A questo link i ricercatori di DSCO CyTec hanno riportato i dettagli sullo spyware individuato.