StrelaStealer malware secuestrando cuentas de Outlook y Thunderbird

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apodado StrelaStealer, el malware se distribuye a través de archivos adjuntos de correo electrónico maliciosos y se dirige a personas de habla hispana.

Los investigadores de seguridad cibernética de DCSO CyTec han descubierto un nuevo malware que roba información dirigido a los correos electrónicos de Outlook y Thunderbird.

Apodado StrelaStealer, el malware actúa como cualquier otro ladrón de información e intenta robar datos de navegadores, aplicaciones de juegos en la nube, aplicaciones de billetera de criptomonedas, el portapapeles y otras fuentes. Sin embargo, lo que hace única a esta campaña es que el malware roba datos de las cuentas de Thunderbird y Outlook y se dirige a personas de habla hispana.

Análisis de la cadena de ataques

El malware fue detectado a principios de este mes. La cadena de ataque implica el envío de archivos adjuntos de correo electrónico al usuario objetivo. Estos archivos adjuntos contienen archivos ISO. Cuando un usuario hace clic en el archivo, abre un ejecutable (msinfo32.exe). Luego descarga el malware incluido a través del secuestro de pedidos de DLL.

El correo malicioso utilizado en la campaña
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En algunos casos, la ISO contiene un archivo .lnk (Factura.Ink) y un documento HTML que es un archivo políglota (x.html). Por ejemplo, cuando abre un archivo HTML en un navegador web, verá un documento de texto, y cuando se abre a través de un ejecutable, instala la carga útil.

¿Cómo funciona el ataque?

Según la publicación del blog de DCSO CyTec, cuando el usuario hace clic en el archivo .lnk, ejecuta x.html dos veces. Primero, lo ejecuta usando rundll32.exe y abre la DLL StrelaStealer incrustada. Luego abre el archivo HTML en el navegador predeterminado del dispositivo para revelar un documento señuelo.

Mientras el usuario está ocupado revisando este documento, el ladrón de información inicia sus tareas maliciosas en segundo plano. Por ejemplo, busca login.json y key4.db en el directorio %APPDATA%\Thunderbird\Profiles\ para robar las credenciales de la cuenta.

En el caso de Outlook, el malware accede al Registro de Windows y roba la clave del software, luego de lo cual inspecciona los valores de Usuario IMAP, Contraseña IMAP y Servidor IMAP. Si lo encuentra, el malware extrae el contenido a un servidor C2 controlado por el atacante.

Luego espera la respuesta del atacante. Si se recibe, el malware se cierra. Si no, repite la rutina después de una sesión de sueño de 1 segundo.

En conclusión, los archivos adjuntos de correo electrónico pueden ser una excelente manera de compartir información y archivos con otros, pero también pueden ser una fuente de malware. Siguiendo algunas pautas simples, puede protegerse de los archivos adjuntos de correo electrónico maliciosos.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta