StrelaStealer: новый вредоносный инструмент для кражи почтовых данных

Один из способов распространения StrelaStealer заключается в использовании переименованного исполняемого файла msinfo32.exe, который загружает вредоносный код в виде библиотеки slc.dll. Но более изощренный вариант предполагает применение полиглот-файла, который одновременно является и DLL, и HTML-страницей. Это позволяет злоумышленникам обходить некоторые системы защиты, так как файл может быть интерпретирован по-разному в зависимости от контекста исполнения.

Внутри ISO-файла обычно находятся два объекта: ярлык Factura.lnk и полиглот x.html. Ярлык запускает x.html дважды – сначала как DLL, затем как HTML. Такой подход обеспечивает выполнение вредоносного кода даже в случае, если одна из попыток блокируется.

Основная функциональность StrelaStealer реализована в виде DLL-библиотеки, которая активируется при вызове экспортируемой функции с именем Strela или s. Хотя код не подвергнут обфускации, строки внутри него зашифрованы с помощью циклического XOR с фиксированным ключом. После запуска вредонос начинает поиск и кражу учетных данных из популярных почтовых клиентов – Thunderbird и Outlook.

Для кражи данных из Thunderbird StrelaStealer сканирует каталог %APPDATA%\Thunderbird\Profiles\, извлекает файлы logins.json и key4.db, после чего отправляет их содержимое на командный сервер злоумышленников. В случае с Outlook вредонос анализирует реестр, а именно ветку HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\, чтобы получить данные сервера IMAP, логин и зашифрованный пароль. Последний расшифровывается с помощью системной функции CryptUnprotectData перед отправкой на сервер.

Коммуникация с сервером управления осуществляется через HTTP POST-запросы, причем передаваемые данные также зашифрованы XOR. Все обнаруженные образцы StrelaStealer используют один и тот же C2-адрес: hxxp://193.106.191[.]166/server.php. Интересно, что этот IP-адрес принадлежит российскому хостинг-провайдеру Kanzas LLC, известному предоставлением "пуленепробиваемого" хостинга, который часто используется киберпреступниками.

Украденные данные передаются в определенном формате. Для Thunderbird это комбинация префикса "FF", размера файла logins.json и его содержимого, а также данных из key4.db. В случае с Outlook информация структурирована как "OL" с последующим списком серверов, пользователей и паролей.

После отправки данных StrelaStealer проверяет ответ сервера – если последние два байта равны "KH", вредонос завершает работу. В противном случае он повторяет попытку через секунду.

Учитывая растущую активность StrelaStealer, пользователям почтовых клиентов рекомендуется усилить меры безопасности: проверять подозрительные вложения, использовать двухфакторную аутентификацию и регулярно обновлять антивирусное ПО. Компаниям же следует обратить внимание на мониторинг необычной сетевой активности, особенно исходящих HTTP-запросов к незнакомым доменам.

IPv4

• 193.106.191.166

URLs

• http://193.106.191.166/server.php
• http://45.142.212.20/dll.dll

SHA256

• 1437a2815fdb82c7e590c1e6f4b490a7cdc7ec81a6cb014cd3ff712304e4c9a3
• 6e8a3ffffd2f7a91f3f845b78dd90011feb80d30b4fe48cb174b629afa273403
• 879ddb21573c5941f60f43921451e420842f1b0ff5d8eccabe11d95c7b9b281e
• 8b0d8651e035fcc91c39b3260c871342d1652c97b37c86f07a561828b652e907
• ac040049e0ddbcb529fb2573b6eced3cfaa6cd6061ce2e7a442f0ad67265e800
• b7e2e4df5cddcbf6c0cda0fb212be65dea2c442e06590461bf5a13821325e337
• be9f84b19f02f16b7d8a9148a68ad8728cc169668f2c59f918d019bce400d90e
• bfc30cb876b45bc7c5e7686a41a155d791cd13309885cb6f9c05e001eca1d28a
• c69bac4620dcf94acdee3b5e5bcd73b88142de285eea59500261536c1513ab86
• c8eb6efc2cd0bd10d9fdd4f644ebbebdebaff376ece9e48ff502f973fe837820
• d8d28aa1df354c7e0798279ed3fecad8effef8c523c701faaf9b5472d22a5e28
• fa1295c746e268a3520485e94d1cecc77e98655a6f85d42879a3aeb401e5cf15