StrelaStealer

StrelaStealer es una amenaza de malware especializada que utilizan los atacantes para comprometer las credenciales de las cuentas de correo electrónico de sus víctimas. La amenaza está diseñada específicamente para extraer las credenciales de la cuenta de los clientes de correo electrónico Microsoft Outlook y Mozilla Thunderbird. La información sobre StrelaStealer y la forma en que opera se proporcionó en un informe publicado por investigadores de ciberseguridad. Según sus hallazgos, la amenaza estaba dirigida principalmente a usuarios de habla hispana, a través de una campaña de correo electrónico no deseado.

StrelaStealer utiliza dos técnicas diferentes para obtener los datos objetivo, dependiendo de si está atacando Outlook o Thunderbird. Al intentar extraer las credenciales de Outlook, el malware primero accederá al Registro de Windows para recuperar la clave de aplicación necesaria, así como los valores de 'Usuario IMAP', 'Servidor IMAP' y 'Contraseña IMAP'. Para descifrar la información objetivo, que se guarda en el dispositivo de forma cifrada, StrelaStealer aprovechará la función Windows CryptUnproctectData.

Alternativamente, cuando se dirige a Mozilla Thunderbird, la amenaza primero realizará dos búsquedas separadas dentro del directorio '%APPDATA%\Thunderbird\Profiles\'. La primera búsqueda será 'logins.json' que contiene la cuenta y la contraseña de la víctima, mientras que la segunda búsqueda será 'key4.db', que es una base de datos de contraseñas.

Obtener acceso al correo electrónico del objetivo proporcionará a los atacantes la capacidad de realizar numerosas actividades fraudulentas. Pueden comprometer los datos que se encuentran en los mensajes de correo electrónico de la cuenta violada o intentar apoderarse de cuentas adicionales asociadas con el correo electrónico. También podrían asumir la identidad de la víctima y comenzar a enviar mensajes seductores, difundir información errónea o amenazas de malware, pedir dinero, etc.