Истражувачкиот тим за закани на SonicWall Capture Labs предупредува на напади со помош на малициозен софтвер StrelaStealer што краде лозинки.


Интересно е што малициозниот софтвер врши проверки за да избегне инфекција на системи лоцирани во Русија. Од друга страна, најголем дел од нападите насочени кон корисниците на Thunderbird и Outlook се забележани во Полска, Германија, Шпанија и Италија.

Нападот започнува со датотека JavaScript која се испраќа до жртвите преку е-пошта. Скриптата го проверува јазикот на системот за да ги исклучи руските корисници.

Нападот се одвива во неколку фази, а покрај малициозен софтвер, на системот може да се најдат и други датотеки со различни имиња, веројатно за да се избегне откривање на инфекцијата.

StrelaStealer исто така проверува дали целниот систем се користи во Шпанија, Полска, Италија и Германија.

Кражбата започнува со програмата за е-пошта Mozilla Thunderbird, меѓутоа, StrelaStealer исто така подоцна проверува за присуство на Outlook и ги ексфилтрира сите лозинки од двете програми до IP адресата 45.9.74[.]176.

StrelaStealer првпат беше забележан на почетокот на ноември 2022 година и оттогаш постојано се надградуваше со нови техники за замаглување на кодот и антианализа.