Malware StrelaStealer baru mencuri Outlook, akun Thunderbird Anda

Angkan

New member
Malware StrelaStealer baru mencuri Outlook, akun Thunderbird Anda

Malware pencuri informasi baru bernama 'StrelaStealer' secara aktif mencuri kredensial akun email dari Outlook dan Thunderbird, dua klien email yang banyak digunakan.

Perilaku ini menyimpang dari sebagian besar pencuri info, yang mencoba mencuri data dari berbagai sumber data, termasuk browser, aplikasi dompet cryptocurrency, aplikasi game cloud, clipboard, dll.

Malware yang sebelumnya tidak dikenal ditemukan oleh analis di DCSO CyTec, yang melaporkan bahwa mereka pertama kali melihatnya di alam liar pada awal November 2022, menargetkan pengguna berbahasa Spanyol.

Infeksi file poliglot​


StrelaStealer tiba di sistem korban melalui lampiran email, saat ini file ISO dengan konten yang bervariasi.

Dalam satu contoh, ISO berisi executable ('msinfo32.exe') yang melakukan sideload malware yang dibundel melalui pembajakan pesanan DLL.

Dalam kasus yang lebih menarik dilihat oleh para analis, ISO berisi file LNK ('Factura.lnk') dan file HTML ('x.html'). File x.html sangat menarik karena merupakan file polyglot, yaitu file yang dapat diperlakukan sebagai format file yang berbeda tergantung pada aplikasi yang membukanya.

diagram(19).png

Diagram proses infeksi - Sumber: DCSO CyTec

Dalam hal ini, x.html adalah file HTML dan program DLL yang dapat memuat malware StrelaStealer atau menampilkan dokumen umpan di browser web default.

Ketika file Fractura.lnk dieksekusi, ia akan mengeksekusi x.html dua kali, pertama menggunakan rundll32.exe untuk menjalankan StrelaStealer DLL yang disematkan dan lain kali sebagai HTML untuk memuat dokumen umpan di browser, seperti yang ditunjukkan pada gambar di bawah.

fractura-dll.jpg

File LNK memuat DLL dan gambar umpan dari x.html - Sumber: BleepingComputer

Setelah malware dimuat di memori, browser default dibuka untuk menunjukkan umpan agar serangan tidak terlalu mencurigakan.

lure-document.png

Dokumen iming-iming dibuka oleh StrelaStealer - Sumber: DCSO CyTec

Detail StrelaStealer​


Setelah dieksekusi, StrelaStealer mencari direktori '%APPDATA%\Thunderbird\Profiles\' untuk 'logins.json' (akun dan kata sandi) dan 'key4.db' (database kata sandi) dan mengekstrak isinya ke server C2.

Untuk Outlook, StrelaStealer membaca Windows Registry untuk mengambil kunci perangkat lunak dan kemudian menemukan nilai 'IMAP User', 'IMAP Server', dan 'IMAP Password'.

Sandi IMAP berisi sandi pengguna dalam bentuk terenkripsi, sehingga malware menggunakan fungsi Windows CryptUnprotectData untuk mendekripsinya sebelum dieksfiltrasi ke C2 bersama dengan server dan detail pengguna.

Terakhir, StrelaStealer memvalidasi bahwa C2 menerima data dengan memeriksa respons tertentu dan berhenti saat menerimanya. Jika tidak, ia memasuki mode tidur 1 detik dan mencoba lagi rutinitas pencurian data ini.

Karena malware disebarkan menggunakan umpan berbahasa Spanyol dan berfokus pada perangkat lunak yang sangat spesifik, malware ini dapat digunakan dalam serangan yang sangat bertarget. Namun, DCSO CyTec tidak dapat menentukan lebih lanjut tentang distribusinya.

Sumber
 
  • Like
Reactions: IFF
Top