Die SonicWall Capture Labs Bedrohungsforschung hat eine erneute Aktivität des Credential-Stealers StrelaStealer beobachtet. Diese Malware zielt spezifisch auf Outlook- und Thunderbird-E-Mail-Anmeldedaten ab und zeigt eine bemerkenswerte Verbreitung über JavaScript.
Infektionskette
Initiale Infektion
Die Infektion beginnt mit einer obfuskierten JavaScript-Datei, die über E-Mail-Anhänge in Archivdateien an die Opfer gesendet wird. Diese Datei legt eine Kopie mit zufälligem Namen im Verzeichnis “C:\Users<Username>” ab und führt eine .bat-Datei aus, die die Sprache des Betriebssystems überprüft, um russische Benutzer auszuschließen.
Malware-Nutzung
Nach der Bestätigung eines nicht-russischen Benutzers wird eine base64-kodierte PE-Datei in dasselbe Verzeichnis abgelegt und dekodiert. Eine DLL-Datei wird erstellt und mittels regsvr32.exe ausgeführt.
Technische Details
Dynamische API-Nutzung
Die StrelaStealer-Malware lädt dynamisch alle benötigten APIs und überprüft die Tastaturlayouts des Systems, um die Geolokalisierung zu bestimmen.
Datenexfiltration
Die Hauptfunktionalität beginnt mit dem Mozilla Thunderbird E-Mail-Client. Es wird nach logins.json und key4.db gesucht, um diese Daten an eine spezifische IP-Adresse zu senden. Ähnliches geschieht mit Microsoft Outlook durch das Abfragen bestimmter Registryschlüssel.
Gezielte Regionen
StrelaStealer zielt hauptsächlich auf Benutzer in Polen, Spanien, Italien und Deutschland ab, indem es spezifische Sprach- und Regionscodes identifiziert.
Fazit
Die wiederauflebende Aktivität von StrelaStealer unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen und regelmäßiger Überwachung von E-Mail-Clients. Weitere Details und technische Analysen finden sich in den Berichten von SonicWall Capture Labs.