DCSO CyTec’teki siber güvenlik araştırmacıları, Outlook ve Thunderbird e-postalarını hedefleyen yepyeni bir bilgi çalan kötü amaçlı yazılım keşfetti.
StrelaStealer olarak adlandırılan kötü amaçlı yazılım, tıpkı diğer bilgi hırsızları gibi davranır ve tarayıcılardan, bulut oyun uygulamalarından, kripto para cüzdanı uygulamalarından, panodan ve diğer kaynaklardan veri çalmaya çalışır. Ancak bu kampanyayı benzersiz kılan şey, kötü amaçlı yazılımın Thunderbird ve Outlook hesaplarından veri çalması ve İspanyolca konuşan kişileri hedeflemesidir.
Saldırı Zinciri Analizi
Kötü amaçlı yazılım bu ayın başlarında tespit edildi. Saldırı zinciri, hedeflenen kullanıcıya e-posta ekleri göndermeyi içerir. Bu ekler ISO dosyalarını içerir. Bir kullanıcı dosyayı tıkladığında bir yürütülebilir dosya (msinfo32.exe) açar. Ardından, DLL sipariş ele geçirme yoluyla birlikte verilen kötü amaçlı yazılımı yandan yükler.
Bazı durumlarda, ISO bir .lnk dosyası (Factura.Ink) ve çok dilli bir dosya (x.html) olan bir HTML belgesi içerir. Örneğin, bir web tarayıcısında bir HTML dosyasını açtığınızda, bir metin belgesi göreceksiniz ve bir yürütülebilir dosya aracılığıyla açıldığında, yükü yükler.
Alakalı haberler
- VirusTotal, Kötü Amaçlı Yazılımları Yaymak için En Çok Sömürülen Uygulamaları Açıkladı
- Urlscan.io API Yanlışlıkla Sızan Hassas Veriler ve URL’ler
- Kötü Amaçlı Yazılım Saldırılarında En Çok Yararlanan Microsoft Office Yazılımları
- Apple Safari En Güvenli, Google Chrome 2022’nin En Riskli Tarayıcısı
- Çoğu Kullanıcı Verisini Toplayan En İyi 10 Android Eğitim Uygulaması
Saldırı Nasıl Çalışır?
Kullanıcı .lnk dosyasına tıkladığında x.html dosyasını iki kez çalıştırır. İlk olarak, rundll32.exe’yi kullanarak yürütür ve gömülü StrelaStealer DLL’sini açar. Ardından, bir tuzak belgeyi ortaya çıkarmak için HTML dosyasını cihazın varsayılan tarayıcısında açar.
Kullanıcı bu belgeyi kontrol etmekle meşgulken, bilgi hırsızı kötü niyetli görevlerini arka planda başlatır. Örneğin, hesap kimlik bilgilerini çalmak için %APPDATA%\Thunderbird\Profiles\ dizininde login.json ve key4.db’yi arar.
Outlook’un durumunda, kötü amaçlı yazılım Windows Kayıt Defterine erişir ve yazılımın anahtarını çalar, ardından IMAP Kullanıcısı, IMAP Parolası ve IMAP Sunucusu değerlerini inceler. Bulunursa, kötü amaçlı yazılım, içeriği saldırgan tarafından kontrol edilen bir C2 sunucusuna sızdırır.
Ardından saldırganın yanıtını bekler. Alınırsa, kötü amaçlı yazılım kapanır. Değilse, 1 saniyelik uyku seansından sonra rutini tekrarlar.
Sonuç olarak, e-posta ekleri başkalarıyla bilgi ve dosya paylaşmanın harika bir yolu olabilir, ancak kötü amaçlı yazılım kaynağı da olabilirler. Bazı basit yönergeleri izleyerek kendinizi kötü niyetli e-posta eklerinden koruyabilirsiniz.
İlk olarak, asla tanımadığınız birinden gelen bir eki açmayın. Gönderenden bir ek beklemiyorsanız, onu açarken dikkatli olun. İkinci olarak, ekleri açmadan önce her zaman virüs taraması yapın. Birçok e-posta programı bunu otomatik olarak yapar, ancak sizinki yapmazsa, çevrimiçi olarak kullanılabilen birçok ücretsiz virüs tarayıcısı vardır.
Son olarak, sisteminizde güncellenmiş bir güvenlik çözümünün kurulu olduğundan emin olun. Kötü amaçlı dosyaları ve URL’leri taramak için VirusTotal da kullanılabilir.