Et lorsqu’il est enfin actif après une manœuvre de tromperie, StrelaStealer collecte avec diligence les données d’accès et les envoie à son créateur.
Un nouveau malware appelé « StrelaStealer” vient après les données d’accès pour les comptes de messagerie d’Outlook et de Thunderbird. Les créateurs de l’Infostealer essaient de distraire leurs victimes de son activation avec une tromperie astucieuse. Mais dès qu’il est libre, il appelle assidûment chez lui jusqu’à ce que son interlocuteur raccroche.
StrelaStealer est économe – il ne veut que des comptes de messagerie
Les chercheurs en sécurité ont découvert un nouveau logiciel malveillant qui vole les informations d’identification des comptes de messagerie d’Outlook et de Thunderbird. La stratégie du malware appelé StrelaStealer diffère de celle des autres voleurs d’informations.
En effet, la plupart des applications malveillantes de ce type ciblent simultanément des données provenant de nombreuses sources différentes. Ils les récupèrent parfois à partir de navigateurs Web, d’applications locales ou même du presse-papiers du système d’exploitation. Cependant, il est rare qu’un voleur d’informations cible uniquement les comptes de messagerie.
Selon le rapport des experts en sécurité, le StrelaStealer découvert par les analystes de DCSO CyTec est apparu pour la première fois parmi les utilisateurs hispanophones début novembre 2022. Il pénètre dans les boîtes aux lettres de ses victimes via des fichiers ISO sous forme de pièces jointes. De là, il fait son chemin dans le système.
La tromperie est conçue pour distraire les utilisateurs
Comme le rapporte BleepingComputer, les chercheurs démontrent le déroulement d’une infection à l’aide d’un exemple dans lequel le fichier ISO est un exécutable « msinfo32.exe” qui finit par recharger le logiciel malveillant réel via le détournement de DLL.
Dans un autre cas, cependant, le fichier ISO contenait un « Factura.lnk » et un « x.html‘, ce dernier étant un fichier polyglotte. Cela signifie qu’il peut accepter différents formats de fichiers en même temps.
En conséquence, d’une part, il sert de fichier HTML qui peut afficher un document dans un navigateur Web, trompant et distrayant ainsi l’utilisateur. D’autre part, c’est aussi un programme DLL qui exécute le StrelaStealer. Les deux variantes sont successivement suivies du « Factura.lnk » appelé.
Une fois que le StrelaStealer est libre, il envoie toutes sortes de choses à la maison…
Lorsque le StrelaStealer est enfin actif, il recherche les fichiers « logins.json » et « key4.db« dans le registre »%APPDATA% Profils Thunderbird\ ». C’est là que Thunderbird stocke les informations de connexion pour tous les comptes de messagerie qui ont été configurés. Une fois que le malware l’a trouvé, il transmet le contenu au serveur de commande et de contrôle de l’attaquant (C2).
Afin d’accéder aux comptes depuis Outlook, le StrelaStealer recherche la clé « LOGICIEL HKCU Microsoft Office 16.0 Profils Outlook Outlook 9375CFF0413111d3B88A00104B2A6676\ » du registre Windows pour les valeurs « Utilisateurs IMAP« , « Serveur IMAP » et « Mot de passe IMAP“. À l’aide de la fonction Windows CryptUnprotectData, il décrypte le mot de passe puis transmet également toutes les données au C2.
Le serveur répond normalement aux informations reçues pour confirmer la réception. Uniquement si les deux derniers caractères de la réponse « CH», termine le StrelaStealer. Les chercheurs supposent donc que ces lettres signalent une transmission réussie. S’il n’y a pas de confirmation, le logiciel malveillant s’arrête une seconde, puis renvoie les données capturées.