ストレラスティーラー

StrelaStealer は特殊なマルウェアの脅威であり、攻撃者が被害者の電子メール アカウントの資格情報を侵害するために使用します。この脅威は、Microsoft Outlook および Mozilla Thunderbird メール クライアントからアカウント資格情報を抽出するように特別に設計されています。 StrelaStealer とその動作方法に関する情報は、サイバーセキュリティ研究者によって公開されたレポートに記載されています。彼らの調査結果によると、この脅威は主にスペイン語を話すユーザーを標的にしており、スパム メール キャンペーンを介して行われていました。

StrelaStealer は、Outlook を攻撃しているか Thunderbird を攻撃しているかに応じて、2 つの異なる手法を使用して標的のデータを取得します。 Outlook から資格情報を抽出しようとすると、マルウェアはまず Windows レジストリにアクセスして、必要なアプリケーション キーと、「IMAP ユーザー」、「IMAP サーバー」、および「IMAP パスワード」の値を取得します。暗号化された形式でデバイスに保持されている標的の情報を復号化するために、StrelaStealer は Windows CryptUnproctectData 機能を利用します。

または、Mozilla Thunderbird を標的にしている場合、この脅威は最初に「%APPDATA%\Thunderbird\Profiles\」ディレクトリ内で 2 つの別々の検索を実行します。最初の検索では被害者のアカウントとパスワードを含む「logins.json」が検索され、2 回目の検索ではパスワード データベースである「key4.db」が検索されます。

ターゲットの電子メールにアクセスできるようになると、攻撃者は多数の詐欺行為を実行できるようになります。彼らは、侵害されたアカウントの電子メール メッセージで見つかったデータを侵害したり、電子メールに関連付けられている追加のアカウントを乗っ取ろうとしたりする可能性があります。また、被害者の身元を偽って、おびき寄せるメッセージを送信したり、誤った情報やマルウェアの脅威を広めたり、金銭を要求したりすることもできます。