Поделиться
Программа с русским именем крадет пароли от почты Microsoft и Mozilla, угрожая сотням миллионов людей не из России
Вредоносная программа StrelaStealer пытается красть реквизиты доступа к двум популярным почтовым клиентам. Ее интересуют только испаноязычные пользователи.
Пила-пила, лети, как стрела
Аналитики компании DCSO CyTec объявили об обнаружении нового инфостилера — вредоносной программы, крадущей данные с зараженных компьютеров, которая атакует преимущественно испаноязычных пользователей. Вредоносная программа пытается перехватить реквизиты доступа к популярным почтовым клиентам Microsoft Outlook и Mozilla Thunderbird, что само по себе не слишком типично для таких программ.
Вредонос носит название StrelaStealer, что уже многое говорит о его происхождении. Strela распространяется в виде почтовых вложений — на данный момент в форме файлов ISO с различным содержимым. В одном из случаев, отмеченных исследователями, ISO содержал исполняемый файл msinfo32.exe, который производил побочную загрузку активного вредоносного содержимого через перехват DLL.
В другом, более интересном случае образ ISO содержал файлы LNK ("Factura.lnk") и HTML ("x.html"). Второй файл представлял собой «полиглот» — мультиформатный файл, который разные приложения могут открывать по-разному. В данном случае, x.html представлял собой одновременно файл HTML и DLL, который при запуске в браузере выводил некий нерелевантный документ, а на фоне — через rundll32.exe — запускал «тело» вредоносной программы. В свойствах файла LNK прописаны команды на запуск через rundll32.
Атаки на Thunderbird и Outlook
После запуска StrelaStealer пытается найти в каталоге %APPDATA%\Thunderbird\Profiles\ файлы logins.json, содержашие логин и пароль к почтовому клиенту, и key4.db (база данных с паролями) и выводит их содержимое на контрольный сервер.
Что касается Outlook, StrelaStealer пытается считать данные из системного реестра Windows, извлечь ключ, а затем найти значения IMAPUser, IMAPServer и IMAPPassword.
IMAPPassword содержит пользовательский пароль в зашифрованном виде. Вредонос использует функцию WindowsCryptUnprotectData, чтобы снять шифрование, после чего пароль отправляется на контрольный сервер вметсе с данными о сервере и пользователе.
На последнем этапе StrelaStealer ожидает от контрольного сервера подтверждение того, что он получил данные. Если ответ отличается от ожидаемого, то вредонос повторяет процедуру отправки данных через одну секунду.
Эксперты полагают, что StrelaStealer может быть частью узконаправленной кампании, операторов которой интересуют конкретные данные или конкретные люди.
«Довольно редко встречаются программы, которые крадут исключительно реквизиты доступа к почтовым клиентам, тем более к столь ограниченному количеству — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Это само по себе указывает на таргетированный характер кампании. Исключительно испаноязычные приманки также указывают на относительно ограниченный охват кампании, хотя на самом деле на этом языке говорят около полумиллиарда людей во всем мире».
Поделиться
Короткая ссылка
