StrelaStealer - предназначенную для кражи данных для входа в почту.
StrelaStealer
DCSO CyTec впервые обнаружил StrelaStealer в начале ноября 2022 года, распространяемый через ISO-файлы с, по-видимому, испанскими целями, основанными на использованных документах-приманках. На данный момент неясно, является ли StrelaStealer частью целенаправленной атаки.
Образцы StrelaStealer распространяются в файлах ISO с различным содержимым. В одном случае StrelaStealer использует переименованный msinfo32.exe для боковой загрузки StrelaStealer как slc.dll. Другой, более интересный вариант распространяет StrelaStealer как полиглот DLL/HTML.
Полиглоты - это файлы, которые действительны в двух или более различных форматах. В данном случае StrelaStealer использует файл, который одновременно является и DLL, и HTML-страницей.
Файл ISO содержит два файла, один Factura.lnk и файл полиглота x.html. Файл LNK выполняет x.html дважды, один раз как DLL и второй раз как HTML-файл.
Примеры StrelaStealer представляют собой DLL-файлы, основная функциональность которых запускается вызовом главной экспортной функции с именем Strela или s. Хотя ее код не обфусцирован, строки шифруются с помощью циклического xor с жестко закодированным ключом.
После выполнения StrelaStealer пытается найти и украсть данные для входа в почту из Thunderbird и Outlook.
Для Thunderbird StrelaStealer ищет logins.json и key4.db в каталоге %APPDATA%\Thunderbird\Profiles\ и отправляет содержимое файлов на свой C2.
Для Outlook, StrelaStealer перечисляет ключ реестраHKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\ для того, чтобы найти значения IMAP User, IMAP Server и IMAP Password. Затем StrelaStealer расшифровывает IMAP-пароль с помощью CryptUnprotectData перед отправкой тройки на C2.
Связь осуществляется с помощью обычных HTTP POST, при этом полезная нагрузка шифруется с помощью того же ключа xor, что и для строк. Имя сервера и ресурса C2 задается жестко, и до сих пор все образцы были настроены на одно и то же имя:
hxxp://193.106.191[.]166/server.php
IP-адрес размещен на известном российском пуленепробиваемом хостинге "Kanzas LLC" с /24, вероятно, размещенным в Москве.
Украденные файлы из Thunderbird отправляются домой в следующем формате:
1 2 3 4 | [prefix "FF"] [DWORD size logins.json] [contents of logins.json] [contents of key4.db] |
Данные Outlook используют следующий формат:
1 2 3 4 | [prefix "OL"] [Server1,User1,Password1] [Server2,User2,Password2] ... |
При отправке данных StrelaStealer проверяет, чтобы последние два байта ответа были KH, что сигнализирует об успешной передаче и заставляет StrelaStealer завершить работу, в противном случае он повторяет попытку отправить данные снова после 1-секундного сна.
Indicators of Compromise
IPv4
- 193.106.191.166
URLs
- http://193.106.191.166/server.php
- http://45.142.212.20/dll.dll
SHA256
- 1437a2815fdb82c7e590c1e6f4b490a7cdc7ec81a6cb014cd3ff712304e4c9a3
- 6e8a3ffffd2f7a91f3f845b78dd90011feb80d30b4fe48cb174b629afa273403
- 879ddb21573c5941f60f43921451e420842f1b0ff5d8eccabe11d95c7b9b281e
- 8b0d8651e035fcc91c39b3260c871342d1652c97b37c86f07a561828b652e907
- ac040049e0ddbcb529fb2573b6eced3cfaa6cd6061ce2e7a442f0ad67265e800
- b7e2e4df5cddcbf6c0cda0fb212be65dea2c442e06590461bf5a13821325e337
- be9f84b19f02f16b7d8a9148a68ad8728cc169668f2c59f918d019bce400d90e
- bfc30cb876b45bc7c5e7686a41a155d791cd13309885cb6f9c05e001eca1d28a
- c69bac4620dcf94acdee3b5e5bcd73b88142de285eea59500261536c1513ab86
- c8eb6efc2cd0bd10d9fdd4f644ebbebdebaff376ece9e48ff502f973fe837820
- d8d28aa1df354c7e0798279ed3fecad8effef8c523c701faaf9b5472d22a5e28
- fa1295c746e268a3520485e94d1cecc77e98655a6f85d42879a3aeb401e5cf15