10/11/2022    

BOLETÍN NRO 2022-695

El malware StrelaStealer fue descubierto por primera vez a principios de noviembre del 2022 y estaba dirigido a usuarios de habla hispana. Está robando activamente los accesos de correos electrónicos de Outlook y Thunderbird. 

Infecta a sus víctimas a través de archivos adjuntos con formato ISO y pueden contener distintos contenidos. Estos archivos que son enviados por correos electrónicos contienen un ejecutable con el nombre “msinfo32.exe”, que transfiere el malware.

En un caso, analistas detectaron en la ISO, un archivo LNK con el nombre de “Factura.lnk” y un archivo HTML con el nombre de x.html, en la cual puede tratarse con diferentes formatos de archivos según la aplicación que lo ejecuta. Dicho archivo, puede cargar el malware StrelaStealer o mostrar un documento en el navegador del usuario.

Cuando se ejecuta el archivo Fractura.lnk, ejecutará x.html dos veces, primero usando rundll32.exe para ejecutar la DLL StrelaStealer incrustada y otra vez como HTML para cargar el documento mencionado anteriormente. Una vez que el malware se carga en la memoria, muestra el documento en el navegador. 

Tras la ejecución, StrelaStealer busca en el directorio '%APPDATA%\Thunderbird\Profiles\' 'logins.json' (cuenta y contraseña) y 'key4.db' (base de datos de contraseñas) y extrae su contenido al servidor C2.

Para Outlook, StrelaStealer lee el Registro de Windows para recuperar la clave del software y luego localiza los valores de 'Usuario IMAP', 'Servidor IMAP' y 'Contraseña IMAP'.

La contraseña IMAP contiene la contraseña del usuario en forma cifrada, por lo que el malware usa la función CryptUnprotectData de Windows para descifrarla antes de que se exfiltre al C2 junto con el servidor y los detalles del usuario.

Finalmente, StrelaStealer valida que el C2 recibió los datos buscando una respuesta específica y se cierra cuando la recibe. De lo contrario, entra en suspensión de 1 segundo y vuelve a intentar esta rutina de robo de datos.