Un nuovo malware per il furto di informazioni, chiamato “StrelaStealer”, sta attivamente rubando le credenziali degli account e-mail da Outlook e Thunderbird, due client di posta elettronica molto utilizzati. Questo comportamento si discosta dalla maggior parte degli info-stealer, che tentano di rubare i dati da varie fonti di dati, tra cui i browser, le app di portafogli di criptovalute, le app di cloud gaming, la clipboard, ecc. Il malware, precedentemente sconosciuto, è stato scoperto dagli analisti di DCSO CyTec, che riferiscono di averlo visto per la prima volta in natura all’inizio di novembre 2022, prendendo di mira gli utenti di lingua spagnola. StrelaStealer arriva sul sistema della vittima tramite allegati di posta elettronica, attualmente file ISO con contenuti variabili. In un esempio, l’ISO contiene un file eseguibile (“msinfo32.exe”) che esegue il sideload del malware in bundle tramite il dirottamento dell’ordine delle DLL. In un caso più interessante visto dagli analisti, l’ISO contiene un file LNK (“Factura.lnk”) e un file HTML (“x.html”). Il file x.html è di particolare interesse perché è un file poliglotta, ovvero un file che può essere trattato come un formato diverso a seconda dell’applicazione che lo apre.
In questo caso, x.html è sia un file HTML che un programma DLL che può caricare il malware StrelaStealer o visualizzare un documento esca nel browser web predefinito. Quando il file Fractura.lnk viene eseguito, eseguirà x.html due volte, una prima volta utilizzando rundll32.exe per eseguire la DLL StrelaStealer incorporata e un’altra volta come HTML per caricare il documento esca nel browser, come mostrato nell’immagine sottostante. Una volta che il malware è stato caricato in memoria, il browser predefinito viene aperto per mostrare l’esca e rendere l’attacco meno sospetto.
Al momento dell’esecuzione, StrelaStealer cerca nella directory “%APPDATA%\Thunderbird\Profiles” i file “logins.json” (account e password) e “key4.db” (database delle password) e ne esfiltrano il contenuto sul server C2. Per Outlook, StrelaStealer legge il registro di Windows per recuperare la chiave del software e quindi individua i valori “IMAP User”, “IMAP Server” e “IMAP Password”. La password IMAP contiene la password dell’utente in forma crittografata, quindi il malware utilizza la funzione CryptUnprotectData di Windows per decifrarla prima che venga esfiltrata nel C2 insieme ai dati del server e dell’utente.
Infine, StrelaStealer convalida la ricezione dei dati da parte del C2 verificando la presenza di una risposta specifica e si ritira quando la riceve. In caso contrario, entra in una fase di sospensione di 1 secondo e riprova la routine di furto dei dati. Poiché il malware si diffonde utilizzando esche in lingua spagnola e si concentra su software molto specifici, può essere utilizzato in attacchi altamente mirati. Tuttavia, la DCSO CyTec non è riuscita a determinare ulteriori informazioni sulla sua distribuzione.
