A StrelaStealer malware Európa-szerte terjed, csak Oroszországban nem

A StrelaStealer kártevő által elkövetett kibertámadások újabb hulláma a népszerű platformok, például az Outlook és a Thunderbird e-mail hitelesítő adatait veszi célba Európa-szerte. A SonicWall Capture Labs fenyegetéskutató csoportja június harmadik hetében a StrelaStealer aktivitás jelentős növekedéséről számolt be, amely különösen a lengyel, spanyol, olasz és német felhasználókat érintette. A támadás egy e-mail mellékletnek álcázott, homályosított JavaScript-fájllal kezdődik, amely végrehajtásakor egy sor műveletet indít el a StrelaStealer DLL telepítése érdekében. Ezt a DLL-t úgy tervezték, hogy elkerülje a felismerést, és dinamikusan töltse be a hitelesítő adatok ellopásához szükséges komponenseket.

A StrelaStealer olyan funkciókkal egészült ki, amelyekkel elkerülhető az oroszországi rendszerek megfertőzése, és kizárólag az európai célpontokra összpontosít a billentyűzetkiosztás és a nyelvi kódok vizsgálatával. Miután aktiválódik, a kártevő először a Thunderbird e-mail klienseket veszi célba, és olyan fájlokat keres, mint a logins.json és a key4.db, hogy ellopja a tárolt e-mail hitelesítő adatokat. Ezután áttér az Outlook-fiókokra, és az e-mail-konfigurációkhoz kapcsolódó beállításkulcsokat vonja ki. Az ellopott adatokat a 45.9.74[.]176 IP-címen található parancs- és vezérlőszerverre küldi. Ez rávilágít a kiberfenyegetések egyre kifinomultabbá válására, és hangsúlyozza a megbízható e-mail biztonsági gyakorlatok és a felhasználói éberség fontosságát. Az ilyen támadások kockázatának csökkentése érdekében rendszeres vírusirtó-frissítések, erős jelszavak és fejlett e-mail biztonsági megoldások használata ajánlott.

(forrás)