Gli analisti di DCSO CyTec hanno scoperto un nuovo malware per il furto di informazioni denominato “StelaStealer” che sta rubando attivamente le credenziali di client di posta elettronica come Outlook e Thunderbird.
Gli analisti hanno osservato StelaStealer in natura la prima volta all’inizio di novembre 2022, prendendo di mira gli utenti di lingua spagnola.
StrelaStealer arriva sul sistema della vittima tramite allegati di posta elettronica, attualmente file ISO con contenuto variabile.
In un esempio, l’ISO contiene un eseguibile (“msinfo32.exe”) che esegue il sideload del malware in bundle tramite il dirottamento degli ordini DLL. In un altro caso, più interessante, l’ISO contiene un file LNK (‘Factura.lnk’) e un file HTML (‘x.html’). Il file x.html è di particolare interesse perché è un file poliglotta, ovvero un file che può essere trattato come formati di file diversi a seconda dell’applicazione che lo apre. In questo caso, x.html è sia un file HTML che un programma DLL in grado di caricare il malware StrelaStealer o visualizzare un documento esca nel browser Web predefinito.
Una volta che il file Fractura.lnk viene eseguito, eseguirà x.html due volte, prima utilizzando rundll32.exe per eseguire la DLL StrelaStealer incorporata e un’altra volta come HTML per caricare il documento esca nel browser.
Quando il malware viene caricato in memoria, il browser predefinito viene aperto per mostrare l’esca per rendere l’attacco meno sospetto.
Al momento dell’esecuzione, StrelaStealer cerca nella directory ‘%APPDATA%\Thunderbird\Profiles\’ ‘logins.json’ (account e password) e ‘key4.db’ (database password) ed esfiltra il loro contenuto nel server C2.
Per Outlook, StrelaStealer legge il registro di Windows per recuperare la chiave del software, quindi individua i valori “Utente IMAP”, “Server IMAP” e “Password IMAP”.
La password IMAP contiene la password dell’utente in forma crittografata, quindi, il malware utilizza la funzione CryptUnprotectData di Windows per decrittografarla prima che venga esfiltrata nel C2 insieme al server e ai dettagli dell’utente.
Infine, StrelaStealer convalida che il C2 ha ricevuto i dati controllando una risposta specifica e si chiude quando lo riceve. In caso contrario, entra in una sospensione di 1 secondo e riprova questa routine di furto di dati.
Poiché il malware viene diffuso utilizzando esche in lingua spagnola e si concentra su software molto specifici, può essere utilizzato in attacchi altamente mirati, conclude BleepingComputer.
