StrelaStealer: lo spyware che deruba Outlook e Thunderbird arriva in Italia

da | Mag 15, 2023 | News, Report CERT

StrelaStealer è uno spyware specializzato nel furto di account email. Il CERT ne ha individuato una campagna di diffusione in Italia

StrelaStealer è uno spyware specializzato nel furto di account email. Il CERT ne ha individuato una campagna di diffusione in Italia

Il CERT individua StrelaStealer in diffusione in Italia

Con un tweet sul profilo ufficiale, il CERT AgID ha reso pubblica l’individuazione della prima campagna di diffusione in Italia del malware StrelaStealer.

StrelaStealer è un malware per il furto dati (infostealer) molto recente. Le prime individuazioni e analisi risalgono al Novembre dello scorso anno. Nessuna campagna di distribuzione, però, era mai stata individuata in Italia.

StrelaStealer: cosa sappiamo per adesso

I primi ad individuare questo malware sono stati gli analisti della firm di cybersecuity DCSO CyTEc, che individuarono una versione pensata per colpire gli utenti di lingua spagnola. Al contrario di altri infostealer, che per la maggior parte prendono di mira dati finanziaria o collegati a criptovalute e informazioni personali, StrelaStealer prende di mira le credenziali degli account email.

Lo fa prendendo di mira, in dettaglio, gli utenti dei due popolarissima client email Thunderbird e Outlook.

Come si diffonde

StrelaStealer viene diffuso via email. Le email veicolano solitamente allegati ISO il cui contenuto varia da campagna a campagna. In uno dei casi analizzato, l’ISO conteneva un eseguibile rinominato msinfo32.exe. In altri casi il file ISO conteneva due file, un file LNK e uno HTML. Il file HTML mostrava formati diversi a seconda dell’applicazione usata dall’utente per aprirlo. Il file ISO è un vettore piuttosto comodo perché consente di “montare” una immagine con il doppio clic. Quindi se l’utente clicca due volte sul contenuto di un file ISO, non riceve alert di sicurezza.

La catena di infezione di StrelaStealer
Fonte: DCSO CyTEc

Nel caso in oggetto, il file HTML, rinominato x.html, è sia un file HTML che un programma DLL con la capacità di scaricare il malware StrelaStealer oppure di mostrare un documento diverso a seconda del browser predefinito.

La catena di infezione

Come si vede nell’immagine sopra, quando il file Factura.lnk viene eseguito, eseguirà x.html due volte: una usando rundll32.exe per eseguire la DLL StrelaStealer integrata, la seconda volta per caricare il documento nel browser

Le proprietà del file Factura.lnk
Le proprietà del file Factura.lnk. Fonte: Bleeping Computer

Ecco che il malware è caricato in memoria, il browser di default viene aperto e mostra il documento scelto per rendere l’attacco meno sospetto. In questo caso, il documento mostrato emula un documento ufficiale del famoso gruppo bancari ARVAL- BNP Paribas.

Il documento fake di ARVAL - BNP Paribas
Il documento fake di ARVAL – BNP Paribas. Fonte: Bleeping Computer

Dettagli su StrelaStealer

Una volta eseguito il malware stesso, StrelaStealer cerca la directory ‘%APPDATA%\Thunderbird\Profiles\ e il file logins.json (account e password) e il file key4.db (database delle password). Ne esfiltra il contenuto e lo invia al server C&C sotto il controllo degli attaccanti.

Nel caso di Outlook, invece, il malware legge il Registro di Windows per recuperare la chiave del software e quindi individuare i valori “IMAP User”, “IMAP Server” e “IMAP Password”. IMAP Password contiene effettivamente la password dell’utente, ma in forma criptata quindi il malware utilizza una funzione di Windows (CryptUnprotectData) per riportarla in chiaro prima di esfiltrarla e inviarla al C&C.

L’infezione si conclude quando StrelaStealer convalida che il server C&C ha ricevuto i dati controllando una specifica risposta. Quindi si arresta quando la riceve. Se invece non ottiene la convalida, entra in stato di sospensione per 1 secondo, quindi ritenta la routine di furto dati.

Guide utili per rimanere al sicuro da attacchi malware e phishing

POTREBBE ANCHE PIACERTI: