Un virus qui veut vos noms d’utilisateur et mots de passe a été vu pour la première fois par des chercheurs en cybersécurité en novembre 2022.
Pour l’instant, il est principalement axé sur les utilisateurs hispanophones d’Outlook et de Thunderbird, mais rien qui ne comprenne une annonce sur de nouvelles cibles.
Un fichier polyglotte qui peut jouer une partition parfaite pour les joueurs
Un fichier polyglotte permet de jouer une partition parfaite pour les hackers
Il s’agit d’un nouveau virus qui peut causer de graves problèmes. En effet, des chercheurs en cybersécurité de DCSO CyTec disent avoir récemment isolé un virus dont le but est de dérober les noms d’utilisateur et mots de passe des utilisateurs de deux services spécialisés de gestion de messagerie. Microsoft Outlook et Mozilla Thunderbird. Baptisé « StrelaStealer », ce virus est basé sur un système d’exploitation simple : une pièce jointe à un e-mail, appelée fichier ISO.
L’ISO contient notamment un raccourci vers un fichier, au format .lnk, qui fait office d’application. Pire encore, l’ouverture de ce fichier au format .lnk montre également l’implémentation d’un autre fichier au format polyglotte .html, vu plus haut. La dernière partie contient un fichier exécutable, « msinfo32.exe », qui télécharge un fichier DLL sur la machine où StrelaStealer est installé.
Mais ce n’est pas tout, puisque x.html ouvre également la facture au format .lnk sur le mauvais site Web. C’est pourquoi la victime a vu cette facture affichée et ne doute pas qu’elle vient d’installer StrelaStealer sur son appareil. Les étapes sont résumées ci-dessus.
Pour l’instant, les hispanophones sont des cibles privilégiées
Pour l’instant, les hispanophones sont les cibles préférentielles
Ensuite, StrelaStealer peut travailler en toute sécurité pour trouver des noms d’utilisateur et des mots de passe. Pour Thunderbird, le virus creuse dans le fichier « %APPDATA%ThunderbirdProfiles » et les fichiers « logins.json » et « key4.db ». Il recherche des informations sur le compte et notamment le mot de passe de la victime et les envoie à l’attaquant via le serveur C2.
Pour Outlook, StrelaStealer creuse dans le registre Windows et extrait les données « IMAP User », « IMAP Server » et « IMAP Password ». Comme le code IMAP est chiffré, le virus utilise la commande Windows CryptUnprotectData pour le déchiffrer puis l’envoyer à l’attaquant, toujours en utilisant le serveur C2. Avant de terminer son opération, StrelaStealer attend la réponse du serveur C2 pour confirmer que les informations de la victime ont bien été transmises, sinon il re-soumettra l’opération jusqu’à ce qu’elle réussisse.
Actuellement, StrelaStealer se concentre principalement sur les utilisateurs espagnols. Mais en l’état, rien ne l’empêche d’augmenter et de se référer à d’autres informations.