Forscher haben die Funktionsweise einer neuen Malware dokumentiert – StrelaStealerdessen Ziel darin besteht, die Anmeldedaten von E-Mail-Konten zu stehlen.
Angesichts mehrerer spanischsprachiger Verweise und ihrer Funktionsweise scheint die Malware nur für hochgradig zielgerichtete Angriffe verwendet zu werden. Es wird gesagt, dass StrelaStealer mit LNK-Dateien geliefert wird, die im Hintergrund exfiltrierende Malware ausführen und dem Benutzer ein Lockvogeldokument im Internet zeigen.
Funktionsweise von StrelaStealer
Forscher von DCSO CyTec haben eine neue Malware beschrieben, die Informationen stiehlt. StrelaStealerdas die Anmeldeinformationen von Outlook- und Thunderbird-E-Mail-Konten stiehlt. Diese Malware wurde erstmals Anfang dieses Monats entdeckt und zielte auf spanischsprachige Benutzer ab.
Die Bedrohungsakteure dieser neuen Informationen stehlenden Schadsoftware senden dem Zielbenutzer zunächst E-Mail-Anhänge, die ISO-Dateien mit unterschiedlichem Inhalt enthalten. Wenn Sie darauf klicken, öffnen die ISO-Dateien eine ausführbare Datei („msinfo32.exe“) und laden die gebündelte Malware per DLL-Reihenfolge-Hijacking nach.
Nun, in einigen Fällen enthält die ISO eine LNK-Datei („Factura.lnk“) und eine HTML-Datei („x.html“), wobei HTML ein typischer Übeltäter ist. Es handelt sich um eine polyglotte Datei, die je nach Art der Anwendung, die sie öffnet, unterschiedliche Ergebnisse anzeigen kann.
Wenn Sie die HTML-Datei beispielsweise mit einem Webbrowser öffnen, wird Ihnen ein Textdokument angezeigt. Und wenn es über eine ausführbare Datei geöffnet wird, wird darin die betreffende Nutzlast installiert.
Wenn das Ziel in diesem Fall auf die Datei fractura.lnk klickt, wird die Datei x.html zweimal ausgeführt. Zunächst wird eine rundll32.exe verwendet, um die eingebettete StrelaStealer-DLL zu öffnen. Anschließend wird die HTML-Datei im Standardwebbrowser geöffnet, um ein Täuschungsdokument anzuzeigen.
Während sich das Ziel auf die Überprüfung des Lockvogeldokuments konzentriert, wird StrelaStealer im Hintergrund ausgeführt, um seine Aufgaben auszuführen – beispielsweise das Durchsuchen des Verzeichnisses nach den Kontoanmeldeinformationen und deren Diebstahl.
Im Fall von Outlook liest die Malware die Windows-Registrierung, um den Schlüssel der Software zu stehlen, und überprüft dann die und -Werte. Wenn sie gefunden wird, exfiltriert sie ihren Inhalt auf den C2-Server des Hackers.
Obwohl sie in hochgradig zielgerichteten Angriffen eingesetzt werden, sollte beachtet werden, wie geschickt die Malware-Akteure ihre Ziele angehen, um zu bekommen, was sie wollen.
