Эта новая кампания по борьбе с киберпреступностью проводится после того, как вы вошли в систему электронной почты Outlook.
вычисления techradar.com Новости

Эта новая кампания по борьбе с киберпреступностью проводится после того, как вы вошли в систему электронной почты Outlook.

10 ноября 2022 г.

Исследователи обнаружили новую вредоносную кампанию, которая проводится после входа пользователя в электронной почты. реквизиты для входа.

Эксперты по кибербезопасности из DSCO CyTec обнаружили, что программа для кражи информации под названием «StrelaStealer» активно используется для кражи учетных данных для входа в систему у испаноязычных пользователей почтовых клиентов Outlook и Thunderbird.

Кампания только что завершилась. наблюдается впервые, что позволяет предположить, что он может быть относительно новым и, как таковой, возможно, более опасным, пока эксперты не разгадают его внутреннюю работу.

Файлы Polyglot

Атаки начинаются так же, как и другие кампании — с фишингового письма.

На данный момент исследователи обнаружили две разные кампании по электронной почте, одна из которых распространяла ISO-образ с исполняемым файлом «msinfo32.exe», который загружает связанное вредоносное ПО с помощью перехвата порядка DLL. Второй, возможно, более интересный, содержит два общих файла в ISO — файл ярлыка Factura.lnk и документ браузера x.html.

Последний впоследствии оказался файлом-полиглотом — файлом которые можно рассматривать как разные форматы, в зависимости от приложения, которое их открывает.

Поэтому, когда жертва запускает файл ярлыка, она запускает файл HTML дважды: один раз как DLL, которая загружает StrelaStealer, и один раз как файл HTML, который открывает документ-приманку в браузере. Таким образом, жертва не подозревает, что вредоносный файл был загружен в фоновом режиме.

Подробнее

> Новое неприятное вредоносное ПО для кражи информации попадает в почтовые ящики

> Вот еще одна веская причина не скачивать пиратское ПО

> Познакомьтесь с лучшими Услуги защиты от кражи ID прямо сейчас

В отличие от большинства программ для кражи информации, которые стремятся получить как можно больше информации с целевой конечной точки, StrelaStealer — уникальный зверь, поскольку он работает только с учетными данными для входа в систему по электронной почте.

Для пользователей Thunderbird вредоносное ПО будет искать в папке %APPDATA%\Thunderbird\Profiles\' каталог для 'logins.json' и 'key4.db'. Если он их находит, он эксфильтрирует их на сервер C2. Для пользователей Outlook вредоносная программа будет читать реестр Windows, чтобы найти ключ программного обеспечения, а затем находить значения пользователя IMAP, сервера IMAP и пароля IMAP для эксфильтрации.

Пока что вредоносное ПО нацелено только на испаноязычное сообщество, что побуждает средства массовой информации, чтобы предположить, что он используется в целенаправленных атаках.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE