StrelaStealer
StrelaStealer es un programa malicioso diseñado para robar las credenciales de inicio de sesión de cuentas de correo electrónico. Fue identificado por primera vez en noviembre de 2022 por los investigadores de DCSO CyTec. Este malware se dirige principalmente a los clientes de correo electrónico Microsoft Outlook y Mozilla Thunderbird, y se distribuye a través de correos electrónicos de spam dirigidos a usuarios hispanohablantes. Una vez que infecta un sistema, StrelaStealer busca y extrae datos confidenciales, como nombres de usuario y contraseñas, almacenados en archivos y registros específicos. La importancia de StrelaStealer radica en su capacidad para comprometer cuentas de correo electrónico, lo que puede llevar a robo de identidad, pérdidas financieras y acceso no autorizado a otros servicios conectados a través de los correos electrónicos. Para protegerse, se recomienda utilizar un software antivirus actualizado y ser cauteloso con los correos electrónicos sospechosos.
Funcionamiento
StrelaStealer es un malware de tipo stealer que se especializa en la extracción de credenciales de inicio de sesión de clientes de correo electrónico, específicamente Microsoft Outlook y Mozilla Thunderbird. A continuación, se detalla su funcionamiento técnico:
- Distribución y Vector de Infección:
- StrelaStealer se distribuye principalmente a través de campañas de spam por correo electrónico, utilizando archivos adjuntos infectados.
- Los archivos adjuntos suelen estar en formato ISO que contienen ejecutables maliciosos o archivos políglota (HTML y LNK).
- Carga y Ejecución:
- En algunos casos, el archivo ISO contiene un ejecutable (e.g., "msinfo32.exe") que carga lateralmente el malware a través del secuestro de la orden de carga de DLL.
- Alternativamente, el archivo ISO puede contener un archivo HTML y un archivo LNK ("x.html" y "Factura.lnk"). El archivo LNK ejecuta el archivo HTML, primero como una DLL (con StrelaStealer incrustado) y luego como un documento HTML para reducir sospechas.
- Proceso de Exfiltración en Thunderbird:
- Una vez infiltrado en el sistema, StrelaStealer busca los archivos "logins.json" y "key4.db" en el directorio "%APPDATA%\Thunderbird\Profiles".
- El archivo "logins.json" contiene las cuentas y contraseñas, mientras que "key4.db" es una base de datos de contraseñas.
- Al acceder a estos archivos, StrelaStealer puede extraer las credenciales de Thunderbird.
- Proceso de Exfiltración en Outlook:
- Para las credenciales de Outlook, StrelaStealer explora el Registro de Windows.
- Busca claves específicas que contienen "Usuario IMAP", "Servidor IMAP" y "Contraseña IMAP".
- Estas credenciales se almacenan cifradas. StrelaStealer utiliza la función
CryptUnprotectData
de Windows para descifrarlas antes de exfiltrarlas.
- Exfiltración y Uso Malicioso de Datos:
- Las credenciales robadas son enviadas a los servidores de comando y control (C2) operados por los atacantes.
- Los ciberdelincuentes pueden usar estas credenciales para acceder a las cuentas de correo electrónico comprometidas y otros servicios asociados, llevar a cabo actividades fraudulentas, robo de identidad, y la distribución de más malware.
- Evasión de Detección:
- StrelaStealer emplea técnicas para evadir la detección, como el uso de archivos políglota y la ejecución de archivos maliciosos en segundo plano sin alertar al usuario.
- La ejecución de archivos HTML como DLLs y la carga lateral de DLLs ayuda a evitar las soluciones de seguridad tradicionales.
- Persistencia:
- El malware puede establecer mecanismos de persistencia en el sistema, aunque los detalles específicos sobre cómo logra esto no están ampliamente documentados.
- Recomendaciones de Seguridad:
- Mantener el software antivirus actualizado y realizar análisis regulares del sistema.
- Evitar abrir archivos adjuntos de correos electrónicos sospechosos o irrelevantes.
- Descargar software solo de fuentes oficiales y verificadas.
- Ser precavido con la información que se proporciona en línea y con los enlaces que se hacen clic.
Impacto y consecuencias
El impacto y las consecuencias de StrelaStealer son significativos debido a su capacidad para comprometer cuentas de correo electrónico y, por ende, otros servicios vinculados. A continuación se describe de manera técnica:
Impacto de StrelaStealer
- Compromiso de Credenciales de Correo Electrónico:
- Thunderbird: StrelaStealer busca los archivos "logins.json" y "key4.db" dentro del directorio "%APPDATA%\Thunderbird\Profiles". Estos archivos contienen la información de las cuentas y contraseñas de Thunderbird.
- Outlook: El malware explora el Registro de Windows para encontrar y descifrar las claves de "Usuario IMAP", "Servidor IMAP" y "Contraseña IMAP" mediante la función
CryptUnprotectData
.
- Exfiltración de Datos:
- Las credenciales robadas se envían a servidores de comando y control (C2) operados por los atacantes.
- Esta exfiltración permite a los ciberdelincuentes acceder a las cuentas de correo electrónico comprometidas y sus contenidos.
Consecuencias de StrelaStealer
- Robo de Identidad:
- Con acceso a las credenciales de correo electrónico, los atacantes pueden suplantar la identidad de la víctima.
- Esto puede incluir el envío de correos electrónicos fraudulentos desde la cuenta comprometida, solicitando información sensible o engañando a los contactos del usuario para que realicen acciones perjudiciales.
- Pérdidas Financieras:
- Acceso a cuentas de correo electrónico financieras: Los atacantes pueden acceder a cuentas de banca en línea, transferencias de dinero, comercio electrónico, y carteras de criptomonedas.
- Realización de transacciones fraudulentas y compras en línea utilizando las credenciales comprometidas.
- Acceso No Autorizado a Otros Servicios:
- Las cuentas de correo electrónico suelen estar vinculadas a otros servicios (e.g., redes sociales, servicios en la nube, plataformas de trabajo).
- Los atacantes pueden usar el acceso al correo electrónico para restablecer contraseñas y tomar control de otras cuentas.
- Distribución de Malware:
- Los atacantes pueden utilizar las cuentas comprometidas para enviar más correos electrónicos de phishing y malware a los contactos del usuario.
- Esto puede facilitar la propagación de StrelaStealer u otros tipos de malware, ampliando el alcance del ataque.
- Compromiso de Datos Sensibles:
- Los correos electrónicos suelen contener información personal y profesional sensible, incluyendo documentos confidenciales, comunicaciones privadas y datos financieros.
- La exfiltración de estos datos puede tener consecuencias graves para la privacidad y la seguridad de la víctima.
- Impacto en la Reputación:
- Las víctimas de StrelaStealer pueden enfrentar daños a su reputación personal y profesional debido a la suplantación de identidad y el uso indebido de sus cuentas de correo electrónico.
- La confianza en la seguridad de sus comunicaciones puede verse seriamente afectada.
Origen y motivación
StrelaStealer fue descubierto por primera vez en noviembre de 2022 por los investigadores de DCSO CyTec, quienes identificaron su distribución a través de campañas de spam dirigidas a usuarios hispanohablantes. La motivación detrás de StrelaStealer es principalmente financiera, ya que busca robar credenciales de inicio de sesión de cuentas de correo electrónico para acceder a información sensible, realizar fraudes financieros, y vender datos en el mercado negro. Al comprometer cuentas de correo electrónico, los atacantes pueden no solo obtener información valiosa, sino también utilizar estas cuentas para expandir su alcance a otras plataformas y servicios, amplificando el impacto del ataque y las oportunidades de lucro ilícito.