Depuis un certain temps, la liste de virus informatiques ne cesse de s’allonger et toujours avec des modes opératoires plus rusés. Pour cette fois, les chercheurs en cybersécurité auprès de DCSO CyTec ont détecté la présence d’un virus sous le nom de StrelaStealer. Pour en savoir plus sur ce virus malveillant, faites défiler et suivez tous les détails le concernant.
Ce nouveau virus attaque particulièrement les utilisateurs des services de messagerie Outlook et Mozilla Thunderbird. Son but principal étant de dérober les informations personnelles des utilisateurs. Mais comment arrive-t-il à ses fins ?
Dans un premier temps, StrelaStealer vous envoie un fichier ISO sous forme de pièce jointe. Une pièce jointe dans laquelle on y trouve un raccourci allant vers une fausse facture au format LNK. Par la suite, au moment de l’ouverture du fichier, un fichier HTML polyglotte se lancera puis télécharge une bibliothèque logicielle DLL. Dans cette bibliothèque se trouve le virus informatique.
StrelaStealer dans Thunderbird cherche les informations du compte dans le dossier AppData\Thunderbird\Profiles et les fichiers logins.json et key4.db. Avec cette recherche, ce virus peut obtenir même les mots de passe.
StrelaStealer dans Outlook extrait le serveur IMAP, les données utilisateur IMAP ainsi que le mot de passe IMAP du registre Windows. Par la suite, il déchiffre le mot de passe IMAP à l’aide de la commande de Windows CryptUnprotectData puis l’envoie aux attaquants via un serveur C2.
Une mise à jour régulière des logiciels de sécurité est une des solutions principales pour se protéger d’un tel virus. Les logiciels de sécurité vous seront d’une grande aide en bloquant les logiciels malveillants. Ensuite, n’ouvrez aucune pièce jointe suspecte contenant des fichiers. Ceci concerne essentiellement les utilisateurs des services de messageries Outlook et Thunderbird. Mais cela ne vous empêche pas d’être également vigilant envers les pièces jointes suspectes.