Sicherheitswarnung: StrelaStealer infiziert Outlook und Thunderbird

Sicherheit

Die SonicWall Capture Labs Bedrohungsforschung hat eine erneute Aktivität des Credential-Stealers StrelaStealer beobachtet. Diese Malware zielt spezifisch auf Outlook- und Thunderbird-E-Mail-Anmeldedaten ab und zeigt eine bemerkenswerte Verbreitung über JavaScript.

Infektionskette

Initiale Infektion

Die Infektion beginnt mit einer obfuskierten JavaScript-Datei, die über E-Mail-Anhänge in Archivdateien an die Opfer gesendet wird. Diese Datei legt eine Kopie mit zufälligem Namen im Verzeichnis “C:\Users<Username>” ab und führt eine .bat-Datei aus, die die Sprache des Betriebssystems überprüft, um russische Benutzer auszuschließen.

Malware-Nutzung

Nach der Bestätigung eines nicht-russischen Benutzers wird eine base64-kodierte PE-Datei in dasselbe Verzeichnis abgelegt und dekodiert. Eine DLL-Datei wird erstellt und mittels regsvr32.exe ausgeführt.

Technische Details

Dynamische API-Nutzung

Die StrelaStealer-Malware lädt dynamisch alle benötigten APIs und überprüft die Tastaturlayouts des Systems, um die Geolokalisierung zu bestimmen.

Datenexfiltration

Die Hauptfunktionalität beginnt mit dem Mozilla Thunderbird E-Mail-Client. Es wird nach logins.json und key4.db gesucht, um diese Daten an eine spezifische IP-Adresse zu senden. Ähnliches geschieht mit Microsoft Outlook durch das Abfragen bestimmter Registryschlüssel.

Gezielte Regionen

StrelaStealer zielt hauptsächlich auf Benutzer in Polen, Spanien, Italien und Deutschland ab, indem es spezifische Sprach- und Regionscodes identifiziert.

Fazit

Die wiederauflebende Aktivität von StrelaStealer unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen und regelmäßiger Überwachung von E-Mail-Clients. Weitere Details und technische Analysen finden sich in den Berichten von SonicWall Capture Labs.

-

Vorheriger Artikel Nächster Artikel

Hat Ihnen der Beitrag gefallen?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Keine Bewertung vorhanden)
Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.