ПО, имеющее русское название, занимается воровством паролей от почтовых ресурсов Mozilla и Microsoft

Под ударом окажется множество иностранных граждан

StrelaStealer – вирусное ПО, предпринимающее попытки заполучить данные доступа к 2-м востребованным почтам. Интерес у программы вызывают исключительно испаноязычные люди.

Новый инфостилер в действии

О том, что был выявлен данный вредоносный продукт, заявили специалисты DCSO CyTec. Программа занимается хищением информации с зараженных ПК. Атаки в большинстве случаев совершаются на испаноязычную аудиторию. Действует ПО нетипично для такого рода продуктов. Оно делает попытки украсть данные доступа к Mozilla Thunderbird и Microsoft Outlook, известным и популярным почтовым сервисам.

Называется программа StrelaStealer. Само название указывает на то, откуда она происходит. Распространяется ПО в формате вложений. Сейчас это ISO-файлы, содержащие различную информацию. Специалисты рассказали, что в одной из ситуаций это был файл msinfo32.exe. Он загружал вирусы.

Еще одна ситуация – содержались в ISO файлы типа LNK и HTML. Последний файл – мультиформатный. Это значит, что различные приложения имеют возможность открывать его разными способами. x.html в этом случае являлся как HTML-файлом, так и DLL-файл. Когда он в браузере запускался, то открывался нерелевантный документ. При этом на фоне он активировал вирусное ПО. В LNK-файлах, в свойствах, есть команды, чтобы осуществлять активацию при помощи rundll32.

Взлом почтовых клиентов

После активации Strela ищет в каталоге файлы с паролем и логином к почте, а также базы, содержащие пароли. Все это направляется на контрольный сервер.

Относительно Outlook программа делает попытки считать информацию из реестра системы Windows, вытащить ключ, после чего отыскать ряд значений.

Одним из этих значений выступает IMAPPassword, имеющий зашифрованный пароль пользователя. Для дешифрации вирус применяет опцию под названием WindowsCryptUnprotectData. Затем пароль и информация о человеке и сервере передается на контрольный сервер.

На заключительном этапе программа ждет ответа от этого сервиса о получении сведений. При отрицательном ответе ПО спустя секунду передает сведения повторно.

По мнению специалистов, программа может являться элементом кампании узкого направления. Операторы интересуются определенными людьми и сведениями.

Н. Павлов, специалист по кибербезопасности SEQ, что подобные программы встречаются очень нечасто, что говорит о том, что тип кампании таргетированный, а ее охват, с учетом нацеленности на испаноязычную аудиторию, – ограниченный. В реальности же приблизительно 500 000 000 человек в мире разговаривают на испанском.