Zanimljivo je da malver vrši provere kako bi se izbegla infekcija sistema koji se nalaze u Rusiji. Sa druge strane, veći deo napada koji ciljaju korisnike Thunderbirda i Outlooka zabeležen je u Poljskoj, Nemačkoj, Španiji i Italiji.Napad počinje JavaScript fajlom koji se šalje žrtvama putem emaila. Skripta proverava sistemski jezik kako bi isključila ruske korisnike.Napad se odvija u više faza a pored malvera, na sistemu se mogu naći i drugi fajlovi sa različitim imenima, verovatno da bi se izbeglo otkrivanje infekcije.StrelaStealer takođe proverava da li se ciljani sistem koristi u Španiji, Poljskoj, Italiji i Nemačkoj.Krađa počinje sa Mozilla Thunderbird email programom, međutim, StrelaStealer takođe kasnije proverava prisustvo Outlooka i eksfiltrira sve lozinke iz oba programa na IP adresu 45.9.74[.]176.StrelaStealer je prvi put primećen početkom novembra 2022. i od tada se stalno nadograđuje novim tehnikama zamagljivanja koda i antianalize. 
29.6.2024.
8:15
Pazite, vreba novi virus koji krade lozinke!
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke.
Izvor: Informacija.rs
Podeli:
Vrati se na vest
0 Ostavite komentar