‘StrelaStealer’ adlı yeni zararlı, iki e-posta istemcisi olan Outlook ve Thunderbird’den e-posta hesabı kimlik bilgilerini çalıyor.
Zararlı ekinde ISO dosyaları bulunan mailler ile kullanıcılara ulaşıyor ve içerisinde LNK dosyası (‘Factura.lnk’) ve bir HTML dosyası (‘x.html’) içeriyor. Kullanıcı dosyayı açtığında bir çok dil desteklendiği için kullanıcı ile iletişim kolaylaşıyor.
Yukardaki diagramda görüldüğü gibi, “x.html” açıldığında hem sahte bir websitesi bunun yanında zararlı ile beraber aktif hale geliyor.
Zararlı yazılım belleğe yüklendikten sonra kullanıcı şüphelenmemesi için bir web sayfası açılıyor ve her şey normal gibi gösteriliyor.
StrelaStealer detayları
StrelaStealer ‘%APPDATA%\Thunderbird\Profiles\’ dizininde ‘logins.json’ (hesap ve parola) ve ‘key4.db’ (parola veritabanı) için arama yapıyor ve içeriklerini C2 bulut sunucusuna gönderiyor. Outlook için ise yazılımın anahtarını almak için Windows Kayıt Defterini okuyor ve ardından ‘IMAP Kullanıcısı’, ‘IMAP Sunucusu’ ve ‘IMAP Parolası’ değerlerini buluyor. IMAP parolası, şifrelenmiş biçimde kullanıcı parolasını içerdiği için sunucu ve kullanıcı ayrıntılarıyla birlikte C2’ye aktarılmadan önce şifresini çözmek için Windows CryptUnprotectData’i kullanıyor ve son olarak C2’nin verileri aldığını doğruluyor. Aksi takdirde, 1 saniyelik bir uyku moduna giriyor ve veriler elde edilene kadar bu süreç devam ediyor.
Kaynak: bleepingcomputer.com
