Gefahr für Outlook- und Thunderbird-Nutzer: Neue Schadsoftware hat es auf Zugänge abgesehen
"StrelaStealer" heißt eine neue Schadsoftware, die über Outlook und Thunderbird Zugangsdaten von E-Mailkonten stiehlt. Sie wurde kürzlich von den Sicherheitsforschern von DCSO CyTec entdeckt. Der Schädling ist bislang offenbar vor allem in Spanien aktiv.
Über die genaue Verbreitung und darüber, ob es sich um eine gezielte Attacke handelt, ist bislang wenig bekannt. Sicher ist, dass die Software über E-Mailanhänge zu den Nutzern gelangt.
Nutzer von Outlook und Thunderbird müssen aufpassen: Schadsoftware stiehlt Zugangsdaten
Meist werden die Opfer über manipulierte ISO-Dateien zum Download geködert. In einem Fall enthielt diese die "msinfo32.exe". Über diese wird dann der "StrelaStealer" heruntergeladen. Sobald er ausgeführt wird, sucht er gezielt nach den Zugangsdaten.
Bei Thunderbird wird unter %APPDATA%\Thunderbird\Profiles\ nach logins.json und key4.db gesucht. Der Inhalt wird dann zu den Angreifern gesendet.
Bei Outlook sucht die Schadsoftware unter dem Registry Key HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\ nach IMAP User, IMAP Server und IMAP Password. Das Passwort wird mit CryptUnprotectData entschlüsselt, bevor die Daten ebenfalls zu den Hackern geschickt werden.
Schützen können sich Nutzer indem Sie grundsätzlich vorsichtig sind. Öffnen Sie keine Anhänge von E-Mails mit unbekanntem Absender und führen Sie unter keinen Umständen verdächtige Programme aus.