CyTec

Alte Malware klaut E-Mail-Zugangsdaten mit neuen Tricks

Type

Artikel

Datum

27. Mrz 2024

Teilen

Die Mission der Schadsoftware „Strelastealer“ ist einfach: Auf dem System ihres Opfers greift sie die in gängigen Mailprogrammen gespeicherten Zugangsdaten ab, die sie dann an Cyberkriminelle weiterleitet. Diese wiederum bringen der Malware regelmässig neue Tricks bei, um Systeme zu infizieren.

Die Malware „Strelastealer“ ist nicht komplett neu. Cybersecurity-Experten bemerkten sie erstmals im November 2022, wie „Bleeping Computer“ unter Berufung auf „DCSO Cytec“ berichtet. Damals habe sie Systeme spanisch sprechender Nutzerinnen und Nutzer ins Visier genommen, heisst es im Artikel. Dies hat sich inzwischen geändert, wie einer Analyse des Cybersecurity-Unternehmens Palo Alto Networks zu entnehmen ist, aus der wiederum „Bleeping Computer“ zitiert. Laut dem Unternehmen zielt die Schadsoftware nun generell auf Opfer in den USA und Europa. Über 100 Systeme habe sie bereits erfolgreich befallen, schreibt Palo Alto Networks.

Nicht geändert hat sich der Hauptzweck, für den Cyberkriminelle die Malware einsetzen: Auf infizierten Systemen klingt sich das Schadprogramm in bekannte E-Mail-Programme ein, wie Microsoft Outlook oder Thunderbird. Dort greift es dann die gespeicherten Zugangsdaten für E-Mail-Konten ab und übermittelt diese den Cyberkriminellen im Hintergrund.

Seit „Strelastealer“ in der Cybersecurity-Branche erstmals entdeckt wurde, hat sich die Malware weiterentwickelt. Ihre kriminellen Programmierer nutzen immer neue Tricks, um Systeme erfolgreich befallen zu können. Sie setzen besonders oft auf sogenannte Polyglott-Angriffe. Dabei wird ein gefährliches Dateiformat in einem harmlosen Format versteckt. „Strelastealer“ wurde beispielsweise zu seinen Anfangszeiten mit einer .ISO-Datei verschickt. Darin wiederum steckten vermeintlich eine Link-Datei (.lnk) und eine HTML-Datei. In Wahrheit enthielten die Dateien aber ausführbaren Programmcode im DLL-Format, der auf dem Zielsystem eine Infektion auslösen konnte.

Die neueren Varianten der Malware, so die Cybersecurity-Analysten, vermischen ZIP- und Jscript-Dateien. Darin versteckt sich wiederum ein Batch-File, welches dann eine weitere codierte Datei entschlüsselt und als ausführbare DLL-Datei für den Angriff einsetzt.

Wie aus den Analysen der Cybersecurity-Unternehmen hervorgeht, kennt „Strelastealer“ noch eine Reihe weiterer Techniken, um auf anzugreifende Computer zu kommen, ohne von einem Antivirenprogramm abgefangen zu werden. Sie rufen deshalb nicht nur dazu auf, die Schutzsoftware stets aktuell zu halten, sondern auch im Umgang mit Anhängen von unbekannten Absendern vorsichtig zu sein.

Von René Jaun und lpe (Netzwoche)

Cytec

Fragen zum Artikel?

Alexander Heidorn

Head of CSIRT/ Threat Research