DCSO CyTec’teki güvenlik analistleri, yakın zamanda Outlook ve Thunderbird istemcilerinin StrelaStealer (“Стрела” == ok) adlı yeni bir bilgi çalan kötü amaçlı yazılım tarafından özellikle hesap kimlik bilgilerini çaldığını belirlediler.
Bu bilgi hırsızının tavrı, aşağıdakiler gibi farklı bilgi kaynaklarını hedef alan çoğunluk hırsızlarının tavrından farklıdır:-
- internet tarayıcıları
- Kripto para cüzdan uygulamaları
- Bulut oyun uygulamaları
- Pano
Kasım 2022’nin başlarında DCSO CyTec, StrelaStealer’ı ilk kez keşfetti. Saldırıda kullanılan cezbedici belgelere dayanarak, İspanyol hedeflerinin ekli olduğu ISO dosyaları aracılığıyla dağıtıldığı görülüyor.
Şu anda, StrelaStealer’ın hedefli bir saldırının parçası olup olmadığı veya bir bilgisayar korsanının enfeksiyonu yayma işinin bir parçası olup olmadığı net değil.
Enfeksiyon Zinciri
ISO dosyaları biçiminde, bu bilgi hırsızı, kurbanın sistemine bulaşmak için e-posta eki yoluyla kurbanın bilgisayarına gönderilir.
Rapora göre, StrelaStealer slc.dll olarak yandan yüklenebilir ve bu, msinfo32.exe’nin yeniden adlandırılmış bir sürümü kullanılarak yapılır. Bunun dışında, bir DLL/HTML poliglot dosyası biçiminde olsa da, StrelaStealer da dağıtılabilir.
Çok dilli dosya terimi, aynı anda iki veya daha fazla farklı dosya biçimi tarafından okunabilen bir dosyayı ifade eder. StrelaStealer söz konusu olduğunda, her ikisi de şu şekilde geçerli olan bir dosya kullanır: –
ISO dosyasında bulunan iki dosya vardır ve burada aşağıda belirtilmiştir: –
“x.html” adlı bir dosya, ilk dosya (LNK dosyası) tarafından iki kez yürütülür. Başlangıçta bir DLL biçiminde ve daha sonra bir HTML dosyası biçiminde yapılacaktır.
Saldırının daha az şüpheli görünmesini sağlamak için, kötü amaçlı yazılım tuzağı görüntülemek için belleğe yüklendikten sonra varsayılan web tarayıcısı açılır.
StrelaHırsız
logins.json ve key4.db dosyalarını bulmak için, StrelaStealer yürütüldüğünde aşağıdaki dizini arar:-
- %APPDATA%\Thunderbird\Profiles\
Tamamlanır tamamlanmaz, bu dosyaların mevcut tüm içeriğini C2 sunucusuna aktaracaktır. Yazılımın anahtarını Windows Kayıt Defterinden aldıktan sonra StrelaStealer, Outlook için aşağıdaki değerleri bulur: –
- IMAP Kullanıcısı
- IMAP Sunucusu
- IMAP Şifresi
Hem dizeler hem de yük için xor anahtarlarını kullanarak düz HTTP POST’ları üzerinden güvenli bir şekilde iletişim kurmak üzere tasarlanmıştır. Hırsız tarafından kullanılan sabit kodlanmış C2 sunucuları ve kaynak adları vardır.
Ayrıca, bu kötü amaçlı yazılım, İspanyolca dildeki yemler kullanılarak yayıldığından, yüksek oranda hedefli saldırılarda kullanılabilir.
Uzlaşma Göstergeleri
sha256 fa1295c746e268a3520485e94d1cecc77e98655a6f85d42879a3aeb401e5cf15 c8eb6efc2cd0bd10d9fdd4f644ebbebdebaff376ece9e48ff502f973fe837820 8b0d8651e035fcc91c39b3260c871342d1652c97b37c86f07a561828b652e907 879ddb21573c5941f60f43921451e420842f1b0ff5d8eccabe11d95c7b9b281e b7e2e4df5cddcbf6c0cda0fb212be65dea2c442e06590461bf5a13821325e337 d8d28aa1df354c7e0798279ed3fecad8effef8c523c701faaf9b5472d22a5e28 ac040049e0ddbcb529fb2573b6eced3cfaa6cd6061ce2e7a442f0ad67265e800 bfc30cb876b45bc7c5e7686a41a155d791cd13309885cb6f9c05e001eca1d28a 6e8a3ffffd2f7a91f3f845b78dd90011feb80d30b4fe48cb174b629afa273403 c69bac4620dcf94acdee3b5e5bcd73b88142de285eea59500261536c1513ab86 be9f84b19f02f16b7d8a9148a68ad8728cc169668f2c59f918d019bce400d90e 1437a2815fdb82c7e590c1e6f4b490a7cdc7ec81a6cb014cd3ff712304e4c9a3 Pdb path: C:\Users\admin\source\repos\Dll1\Release\Dll1.pdb "C:\Users\Serhii\Documents\Visual Studio 2008\Projects\StrelaDLLCompile\Release\StrelaDLLCompile.pdb" C2 server: 193.106.191[.]166 hxxp://193.106.191[.]166/server.php ITW URL: hxxp://45.142.212[.]20/dll.dll
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin