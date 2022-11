Eine neue Schadsoftware verbreitet sich derzeit im Internet. Dabei handelt es sich um “StrelaStealer”. Die Malware stiehlt Zugangsdaten zu Mailkonten in Microsoft Outlook und Mozilla Thunderbird. Davor warnt das auf Sicherheitsthemen spezialisierte IT-Nachrichtenportal Bleepingcomputer. StrelaStealer ist also auf das Ausplündern dieser beider Mailclients spezialisiert. Andere Datenquellen wie Browser, Kryptowährungs-Wallets etc. ignoriert StrelaStealer dagegen.

Sicherheitsexperten von DCSO CyTec entdeckten die neue Schadsoftware erstmals Anfang November 2022. Damals richtete sich StrelaStealer gegen spanisch-sprechende Anwender der beiden Mailclients.

So infiziert StrelaStealer seine Opfer

StrelaStealer kommt klassisch als Mailanhang zu seinen Opfern. Aktuell versteckt sich StrelaStealer in ISO-Dateien mit unterschiedlichem Inhalt. Klickt man auf die angehängte Datei, dann startet eine ausführbare Datei. In einem bekannten Fall heißt diese “msinfo32.exe”. Diese lädt dann die eigentliche Malware nach. In anderen Fällen verstecken sich in der ISO-Datei aber auch LNK-Dateien und HTML-Dateien. In jedem Fall laden diese Dateien aber die eigentlichen Schadprogramme nach.

StrelaStealer durchsucht bei Thunderbird das Verzeichnis “%APPDATA%\Thunderbird\Profiles\” nach Mailkonten samt Passwörtern und lädt diese auf den Server des Hackers hoch. Bei Outlook wiederum liest StrelaStealer die Windows-Registry aus, um den Schlüssel für Outlook zu ermitteln und sucht dann die Werte für “IMAP-Benutzer”, “IMAP-Server” und “IMAP-Passwort”. Dabei versucht die Schadsoftware das IMAP-Passwort, das ja verschlüsselt gespeichert ist, zu entschlüsseln. Danach überträgt die Malware alle Daten an den Server des Angreifers.

Sie können hier die ausführliche Analyse dieser Malware nachlesen.

So schützen Sie sich

Wie immer sollten Sie keine Dateien anklicken, die per Mail kommen und von denen Sie nicht absolut sicher wissen, dass diese Dateien virenfrei und seriös sind. Fragen Sie gegebenenfalls beim Absender vor dem Öffnen der Dateien telefonisch oder per Messenger nach. Zudem sollte auf Ihrem Rechner immer ein aktueller Virenscanner laufen.