新的 StrelaStealer 恶意软件窃取您的 Outlook、Thunderbird 帐户

一种名为“StrelaStealer”的新型信息窃取恶意软件正在积极从 Outlook 和 Thunderbird 这两个广泛使用的电子邮件客户端窃取电子邮件帐户凭据。

这种行为与大多数信息窃取者不同，后者试图从各种数据源窃取数据，包括浏览器、加密货币钱包应用程序、云游戏应用程序、剪贴板等。

DCSO CyTec的分析师发现了这种以前不为人知的恶意软件 ，他们报告说，他们于 2022 年 11 月上旬首次在野外看到它，目标是讲西班牙语的用户。

StrelaStealer 通过电子邮件附件到达受害者的系统，目前是具有不同内容的 ISO 文件。

在分析师看到的一个更有趣的案例中，ISO 包含一个 LNK 文件（'Factura.lnk'）和一个 HTML 文件（'x.html'）。x.html 文件特别有趣，因为它是一个多语言文件，该文件可以根据打开它的应用程序被视为不同的文件格式。

在这种情况下，x.html 既是 HTML 文件又是 DLL 程序，可以加载 StrelaStealer 恶意软件或在默认 Web 浏览器中显示诱饵文档。

当 Fractura.lnk 文件执行时，会执行两次 x.html，第一次使用 rundll32.exe 运行嵌入的 StrelaStealer DLL，另一次使用 HTML 在浏览器中加载诱饵文档，如下图所示。

一旦恶意软件加载到内存中，就会打开默认浏览器以显示诱饵。

执行后，StrelaStealer 在“%APPDATA%\Thunderbird\Profiles\”目录中搜索“logins.json”（帐户和密码）和“key4.db”（密码数据库）并将其内容上传到 C2 服务器。

对于 Outlook，StrelaStealer 读取 Windows 注册表以检索软件的密钥，然后找到“IMAP 用户”、“IMAP 服务器”和“IMAP 密码”值。

IMAP 密码包含加密形式的用户密码，因此恶意软件使用 Windows CryptUnprotectData函数对其进行解密，然后将其与服务器和用户详细信息一起泄露到 C2。

最后，StrelaStealer 通过检查特定响应来验证 C2 是否收到了数据，并在收到后退出。否则，它将进入 1 秒睡眠并重试此数据盗窃例程。

由于该恶意软件使用西班牙语诱饵进行传播，并且专注于非常特定的软件，因此它可能被用于高度针对性的攻击。DCSO CyTec暂无法确定该恶意软件的团伙归属。