È stato identificato un nuovo malware, soprannominato StrelaStealer, che ruba attivamente le credenziali dell’account e-mail dalle popolari app client Microsoft Outlook e Mozilla Thunderbird. I due software, lo ricordiamo, sono i più utilizzati e largamente diffusi nel settore “client email”.
Indice degli argomenti
StrelaStealer arriva con il phishing
Questo abuso criminale è stato individuato dai ricercatori di DSCO CyTec, che ne hanno relazionato i dettagli in un report sul blog. Mentre la maggior parte dei malware stealer prendono di mira i browser e rubano informazioni da essi, così come dalle app del portafoglio (wallet) di criptovaluta e dagli appunti (ciò che copiamo e incolliamo nella/dalla clipboard di sistema), StrelaStealer sembra essere l’unico caso finora noto in grado di colpire esclusivamente le credenziali degli account e-mail.
StrelaStealer viene attualmente diffuso tramite e-mail di phishing che contengono allegati dannosi, generalmente file ISO con contenuti differenti. Un caso unico scoperto utilizzava un file ISO contenente un file LNK e un file HTML. Questo file HTML era ciò che è noto come un file “poliglotta”, cioè che può essere trattato in modo diverso a seconda dell’applicazione che lo apre.
StrelaStealer e l’attacco poliglotta
In questo caso, il file HTML era sia un file HTML che un programma DLL. Dopo l’esecuzione del file LNK, rundll32.exe viene eseguito con il file HTML come destinazione. Questa esecuzione fa partire il payload principale di StrelaStealer sul sistema.
Il file LNK apre anche il file HTML in un browser web nel tentativo di indurre l’utente a pensare che non ci fosse nulla di sospetto nell’attività. Una volta eseguita, la DLL StrelaStealer cerca la directory Thunderbird primaria e raccoglie i file logins.json e key4.db che contengono le informazioni necessarie per decrittografare e raccogliere le password memorizzate.
Contemporaneamente legge anche il registro di Windows per recuperare le informazioni sulle credenziali crittografate archiviate da Outlook e quindi utilizza la funzione Windows CryptUnprotectData per decrittografare le informazioni.
Una volta che entrambe queste attività sono state eseguite, il malware esfiltra i dati al server C2 (comando e controllo) dell’organizzazione criminale.
Il malware verifica quindi che il C2 abbia ricevuto i dati aspettando una risposta specifica prima di uscire.
Se la risposta non viene ricevuta, il malware viene sospeso e quindi tenta di nuovo il furto delle credenziali, finché non riceve positiva risposta.
La difesa: attenzione alla posta elettronica
Non è un compito facile quello di rilevare e bloccare uno spyware (o un info stealer). Alla luce di questa scoperta e sempre di più con la diffusione ormai massiva del phishing, è fondamentale però implementare e mantenere buoni controlli di sicurezza della posta elettronica, come una scansione antivirus e il sandboxing, per evitare che le e-mail di phishing vengano consegnate agli utenti finali dell’organizzazione.
Ormai è largamente noto il fatto che la stragrande maggioranza del malware viene recapitato tramite e-mail di phishing, questo passaggio da solo può aiutare a prevenire un gran numero di campagne di malware, evitando l’infezione dell’organizzazione presa di mira.
Si consiglia, inoltre, di implementare un elenco di blocco di tipi di file allegati alle e-mail potenzialmente sospetti, come ISO, una blacklist per quei messaggi con specifici allegati contenuti all’interno di eventuali e-mail provenienti dall’esterno l’organizzazione.
Questo può anche aiutare a prevenire la consegna di e-mail di phishing agli utenti finali o, per lo meno, a rimuovere dal loro interno gli allegati dannosi.
Si consiglia, infine, di implementare e mantenere buoni controlli di sicurezza degli endpoint, su tutti i sistemi all’interno di un’organizzazione.
