© Shutterstock
© Shutterstock

Un virus qui en veut à vos identifiants et mots de passe vient d'être repéré par des chercheurs en cybersécurité en ce mois de novembre 2022.

Pour l'heure, il cible avant tout les utilisateurs hispanophones d'Outlook et Thunderbird, mais rien n'exclut une propagation vers de nouvelles cibles.

Un fichier polyglotte permet de jouer une partition parfaite pour les hackers

Voilà un nouveau virus qui a le potentiel pour faire de sérieux ravages. En effet, des chercheurs en cybersécurité de chez DCSO CyTec affirment avoir isolé récemment un virus dont l'objectif est de subtiliser les identifiants et mots de passe des utilisateurs de deux services de gestion de mails particulièrement fréquentés. Il s'agit de Microsoft Outlook et Mozilla Thunderbird. Nommé « StrelaStealer », ce virus repose sur un mode opératoire simple : une pièce jointe dans un mail, à savoir un fichier ISO.

© DCSO CyTec
© DCSO CyTec

Dans l'ISO est notamment contenu un raccourci vers une facture, au format .lnk, qui sert de leurre. Ce qui est particulièrement pervers, c'est que l'ouverture de ce fichier au format .lnk lance également l'exécution d'un autre fichier au format .html polyglotte, visible ci-dessus. Ce dernier contient tout d'abord un fichier exécutable, « msinfo32.exe », qui télécharge une bibliothèque logiciel (DLL) sur l'appareil dans laquelle est contenu le virus StrelaStealer.

Mais ce n'est pas tout, puisque x.html ouvre aussi dans le navigateur web par défaut la facture au format .lnk. La victime potentielle voit donc cette facture s'afficher et ne se doute pas qu'elle vient aussi d'installer StrelaStealer sur son appareil. Les étapes sont résumées ci-dessus.

Pour l'instant, les hispanophones sont les cibles préférentielles

Ensuite, StrelaStealer peut sereinement opérer pour dénicher les identifiants et mots de passe. Pour Thunderbird, le virus fouille dans le dossier « %APPDATA%ThunderbirdProfiles » et les fichiers « logins.json » et « key4.db ». Il y déniche les données sur le compte et notamment le mot de passe de la victime et les envoie à l'attaquant par le biais d'un serveur C2.

Pour Outlook, StrelaStealer fouille dans le registre Windows et extrait les données « Utilisateur IMAP », « Serveur IMAP » et « Mot de passe IMAP ». Le mot de passe IMAP étant crypté, le virus utilise la commande Windows CryptUnprotectData pour le décrypter puis l'envoyer à l'attaquant, toujours à l'aide du serveur C2. Avant de cesser son activité, StrelaStealer attend la réponse du serveur C2 pour vérifier que les données des victimes ont bien été transmises, sinon il va rééditer l'opération de transfert tant qu'elle ne réussit pas.

Actuellement, StrelaStealer cible préférentiellement des utilisatrices et utilisateurs hispanophones. Mais en l'état, rien ne l'empêche de proliférer et cibler d'autres profils.