Vorsicht vor dem neuen StrelaStealer: Nutzer von Outlook und Thunderbird im Visier

Eine neue, raffinierte Variante der StrelaStealer-Malware zielt auf spanischsprachige Nutzer ab, mit dem primären Ziel, Anmeldeinformationen von den beliebten E-Mail-Clients Outlook und Thunderbird zu stehlen. Diese aktualisierte Version des StrelaStealers, die erstmals Anfang November 2022 entdeckt wurde, wurde mit fortschrittlichen Verschleierungs- und Anti-Analyse-Techniken ausgestattet, was sie zu einer ernsthaften Bedrohung für die Cybersicherheit macht.

Die Malware wird geschickt über in Archivdateien eingebettetes JavaScript, das an E-Mails angehängt ist, ausgeliefert. Wird das JavaScript vom ahnungslosen Nutzer ausgeführt, so wird eine 64-Bit ausführbare Datei im %userprofile%-Ordner abgelegt und der Malwareprozess gestartet. Dieser dient als Loader für den Payload, der geschickt getarnt ist, um Entdeckung zu vermeiden.

Eine technische Analyse zeigt, dass die Malware eine Ein-Byte-XOR-Verschlüsselung verwendet, um eine codierte Portable Executable (PE)-Datei mit dem bösartigen Payload zu entschlüsseln. Besonders effektiv sind die Verschleierungstechniken, die Sprungblöcke, mehrfache Schleifen und Dummy-Funktionen beinhalten, welche darauf abzielen, Analysten Zeit zu verschwenden und die Ausführung zu verzögern.

StrelaStealer führt eine selektive Ausführung basierend auf dem Tastaturlayout durch. Die Malware überprüft das Tastaturlayout des Systems mit einer Liste von hartkodierten Werten, die Ländern wie Deutschland, Spanien, Italien und Polen entsprechen. Entsprechen das Layout des Systems einem dieser Werte, wird der Malwareprozess fortgesetzt; andernfalls beendet er sich selbst.

Die Hauptfunktion des StrelaStealers ist das Stehlen vertraulicher Daten von infizierten Maschinen, insbesondere das Ziel Mozilla Thunderbird und Outlook. Dabei sucht es nach spezifischen Dateien und Registrierungsschlüsseln, die Benutzerdaten enthalten. Die erbeuteten Daten werden mittels Ein-Byte-XOR-Verschlüsselung verschlüsselt, bevor sie an einen vom Angreifer kontrollierten Server exfiltriert werden.

Diese aktualisierte Variante des StrelaStealers unterstreicht die sich ständig weiterentwickelnde Bedrohungslandschaft und den kontinuierlichen Bedarf an Wachsamkeit sowohl bei Nutzern als auch bei Cybersicherheitsexperten. Die ausgeklügelten Umgehungstechniken der Malware und der gezielte Ansatz machen sie zu einer erheblichen Bedrohung, insbesondere für spanischsprachige Nutzer.