Los investigadores documentaron el funcionamiento de un nuevo malware: StrelaStealercuyo objetivo es robar las credenciales de inicio de sesión de las cuentas de correo electrónico.
Con varias referencias al idioma español y su tipo de operación, parece que el malware se usa solo en ataques altamente dirigidos. Se dice que StrelaStealer vendría con archivos LNK que tienen malware de exfiltración ejecutándose en segundo plano mientras muestra un documento de señuelo en la web al usuario.
Mecanismo de trabajo StrelaStealer
Investigadores DCSO CyTec detallado un nuevo malware que roba información llamado StrelaStealer, eso es robar las credenciales de las cuentas de correo electrónico de Outlook y Thunderbird. Este malware se vio por primera vez a principios de este mes y estaba dirigido a usuarios de habla hispana.
Los actores de amenazas de este nuevo malware que roba información comienzan enviando archivos adjuntos de correo electrónico al usuario objetivo, que contienen archivos ISO con contenido variable. Cuando se hace clic en él, los archivos ISO abren un ejecutable (‘msinfo32.exe’) y descargan el malware incluido a través del secuestro de órdenes DLL.
Bueno, en algunos casos, la ISO contiene un archivo LNK (‘Factura.lnk’) y un archivo HTML (‘x.html’), siendo HTML un culpable típico. Se observa un archivo políglota que puede mostrar diferentes resultados según el tipo de aplicación que lo abra.
Por ejemplo, si abre el archivo HTML con un navegador web, se le mostrará un documento de texto. Y si se abre a través de un ejecutable, instalará la carga útil en cuestión.
En este caso, si el objetivo hace clic en el archivo fractura.lnk, ejecutará x.html dos veces, primero usando un rundll32.exe para abrir la DLL incrustada de StrelaStealer y el otro para abrir el archivo HTML en el navegador web predeterminado. para mostrar un documento señuelo.
Como el objetivo se enfoca en verificar el documento señuelo, StrelaStealer se ejecuta en segundo plano para realizar sus tareas, como buscar en el ‘%APPDATA%\Thunderbird\Perfiles\’ directorio para ‘inicios de sesión.json’ y ‘clave4.db’ para robar las credenciales de la cuenta.
En el caso de Outlook, el malware lee el Registro de Windows para robar la clave del software y luego verifica el ‘Usuario IMAP’, ‘Servidor IMAP’, y ‘Contraseña IMAP‘ valores. Cuando lo encuentre, filtrará su contenido al servidor C2 del hacker.
Aunque se utiliza en ataques altamente dirigidos, se debe tener en cuenta la astucia con la que los actores de malware se acercan a sus objetivos para obtener lo que quieren.
