Un virus qui veut vos noms d’utilisateur et mots de passe vient d’être repéré par des chercheurs en cybersécurité en novembre 2022.

Pour l’instant, il cible principalement les utilisateurs hispanophones d’Outlook et de Thunderbird, mais rien n’exclut l’extension à de nouvelles cibles.

Le fichier polyglotte permet de jouer le score parfait pour les pirates

Un fichier polyglotte permet de jouer une partition parfaite pour les hackers

Il s’agit d’un nouveau virus qui a le potentiel de causer de graves ravages. En effet, des chercheurs en cybersécurité de DCSO CyTec affirment avoir récemment isolé un virus visant à voler les noms d’utilisateur et mots de passe des utilisateurs de deux services de gestion de messagerie particulièrement populaires. Ce sont Microsoft Outlook et Mozilla Thunderbird. Baptisé « StrelaStealer », ce virus est basé sur un mode de fonctionnement simple : une pièce jointe dans un e-mail, ou un fichier ISO.

L’ISO contient notamment un raccourci vers la facture, au format .lnk, qui sert de leurre. Ce qui est particulièrement pervers, c’est que l’ouverture de ce fichier au format .lnk déclenche également l’exécution d’un autre fichier au format polyglotte .html, visible ci-dessus. Ce dernier contient d’abord un fichier exécutable, « msinfo32.exe », qui télécharge une bibliothèque de logiciels (DLL) sur l’appareil où réside le virus StrelaStealer.

Mais ce n’est pas tout, puisque x.html ouvre également un compte au format .lnk dans le navigateur web par défaut. La victime potentielle voit donc la facture affichée et ne se doute pas qu’elle vient également d’installer StrelaStealer sur son appareil. Les étapes sont résumées ci-dessus.

Jusqu’à présent, les hispanophones sont les cibles privilégiées

Pour l’instant, les hispanophones sont les cibles préférentielles

Ensuite, StrelaStealer peut facilement trouver des noms d’utilisateur et des mots de passe. Pour Thunderbird, le virus creuse dans le dossier « %APPDATA%ThunderbirdProfiles » et les fichiers « logins.json » et « key4.db ». Il extrait les informations du compte, en particulier le mot de passe de la victime, et les envoie à l’attaquant via le serveur C2.

Pour Outlook, StrelaStealer creuse dans le registre Windows et extrait les informations « Utilisateur IMAP », « Serveur IMAP » et « Mot de passe IMAP ». Comme le mot de passe IMAP est chiffré, le virus utilise la commande Windows CryptUnprotectData pour le déchiffrer puis l’envoyer à l’attaquant, toujours en utilisant le serveur C2. Avant de mettre fin à son activité, StrelaStealer attend une réponse du serveur C2 pour vérifier que les données de la victime ont bien été transférées, sinon il recommencera l’opération de transfert jusqu’à ce qu’elle réussisse.

À Lire  Vidéo. Découvrez la Love Room, une maison d'hôtes espiègle digne des cinquante nuances de gris à Marmande

Actuellement, StrelaStealer préfère les utilisateurs hispanophones. Mais en l’état, rien ne l’empêche de se propager et de cibler d’autres profils.

Derniers actualités

Xiaomi envisage un concurrent du Mac Mini, et cela pourrait faire des ravages

La marque chinoise a développé deux mini-PC qui pourraient apporter un excellent rapport qualité/prix de la marque au secteur non portable.

Grâce au passage à l’Unreal Engine 5.1, Fortnite est plus beau que jamais !

Une nouvelle ère s’ouvre pour Fortnite. Battle Royale d’Epic Games a commencé son quatrième chapitre avec une multitude de nouveaux contenus et d’autres ajouts visuellement significatifs.

SpaceX pourra envoyer 7 500 nouveaux satellites Starlink et est une offre pour les militaires

La puissante FCC américaine a donné l’autorisation de mettre en œuvre la deuxième phase du projet de mégaconstellation Starlink. SpaceX, qui a cherché à envoyer 30 000 satellites supplémentaires, devra accepter de revoir à la baisse ses ambitions. Mais la société revient avec une proposition de défense uniquement.

Si ces rendus sont corrects, le OnePlus 11 aura droit à un monstrueux module photo !

OnePlus s’apprête à dévoiler son prochain produit phare, mais comme toujours, les fuites gâchent le plaisir. Le module photo de cette semaine est au cœur de la conversation.

Une très bonne affaire sur Amazon pour un super MacBook Air M2

Il y a une très bonne affaire sur Amazon pour l’ordinateur portable Apple MacBook Air et sa puce M2 : il baisse de 200 € pour la version 256 Go, ce qui le ramène à un prix digne du Black Friday.

Voir les tracteurs autonomes dans Interstellar ? Maintenant, ils existent, propulsés par NVIDIA

Début de la production du MK-V, le tracteur intelligent de NVIDIA propulsé par l’intelligence artificielle. Petit par la taille mais grand par ses technologies intégrées, l’appareil peut fonctionner avec ou sans agriculteur au volant.

DJI prépare un Mini 3 moins cher, mais ce ne sera pas « cheap »

La version non professionnelle (et moins chère) du DJI Mini 3 est sur le point d’installer ses propres hélices.

Qu’est-ce que ChatGPT, cette nouvelle intelligence artificielle dont tout le monde parle

La chatbox ChatGPT qui vient d’être lancée a surpris les internautes par le naturel et la qualité de ses réponses. Il faut dire que cette intelligence artificielle a plus d’un tour dans son sac !

Ces excellents écouteurs sans fil à réduction de bruit sont cotés à -27% chez Amazon

La bonne nouvelle arrive juste avant Noël et les écouteurs d’exception en profitent pour devenir encore plus abordables.