Si chiamano infostealer tutti quei programmi malevoli che sono progettati per rubare i dati dell’utente attingendo direttamente al contenuto dei suoi dispositivi.
Gli infostealer possono sottrarre dati personali e informazioni sensibili da diverse fonti: browser, app bancarie e portafogli di criptovalute, area degli appunti (clipboard) del sistema operativo e così via. I dati così “sfilati” ai legittimi proprietari possono essere poi utilizzati dai criminali informatici per porre in essere furti di identità, estorcere o saccheggiare denaro altrui, per rivenderli a terzi sul mercato nero ottenendo un corrispettivo economico.
I ricercatori di DCSO CyTec hanno scoperto un nuovo malware chiamato StrelaStealer che è stato sviluppato con il preciso obiettivo di razziare le credenziali di accesso degli account di posta gestiti con Outlook e Thunderbird.
StrelaStealer può arrivare sulle macchine delle vittime attraverso allegati email nocivi: gli aggressori stanno prevalentemente usando file in formato ISO perché talvolta il loro contenuto sfugge alle soluzioni per la sicurezza di tipo centralizzato usate in azienda e soprattutto, diciamo noi, perché i file ospitati in un file ISO non contengono il cosiddetto Mark-of-the-Web (MotW).
Il Mark-of-the-Web è un attributo che viene aggiunto a livello di file system NTFS per indicare al sistema operativo e ai programmi installati che un elemento proviene da sistemi remoti e che quindi può essere potenzialmente dannoso.
Come abbiamo visto nell’articolo dedicato al funzionamento della Visualizzazione protetta di Office, il flag MotW non è supportato da altri file system diversi da NTFS quindi non può essere utilizzato per “marcare” i file contenuti in un archivio ISO.
Chi prepara l’attacco informatico sfrutta il fatto che Windows permette di “montare” il contenuto di un file ISO con un semplice doppio clic: cliccando due volte su un elemento inserito nell’archivio, non si riceve alcun tipo di segnalazione di sicurezza.
StrelaStealer utilizza, all’interno del file ISO, un collegamento LNK e un HTML che adatta il codice eseguito al programma con cui viene aperto e visualizzato (ecco perché i ricercatori lo chiamato polyglot).
Utilizzando il ben noto meccanismo di attacco DLL hijacking viene disposto il caricamento un file msinfo32.exe
fasullo che manda in esecuzione il codice malevolo vero e proprio.
Quest’ultimo si occupa di cercare e sottrarre i valori delle chiavi di Outlook IMAP User, IMAP Server e IMAP Password contenuti nel registro di sistema di Windows. Dal momento che le password di Outlook sono crittografate, il malware invoca la funzione CryptUnprotectData
di Windows per riportarle in chiaro.
Contemporaneamente, va alla ricerca della cartella %appdata%\Thunderbird\Profiles
estrapolando i file logins.json
e key4.db
.
Tutti i dati così rastrellati vengono quindi caricati su un server Command & Control remoto sotto il diretto controllo degli aggressori.