최신 보안 동향

Outlook과 Thunderbird 계정을 탈취하는 Strela Stealer 악성코드

TACHYON & ISARC 2022. 11. 16. 18:04

최근, Outlook과 Thunderbird 계정을 탈취하는 "Strela Stealer" 악성코드가 발견됐다.

 

보안 업체 DCSO CyTec은 이 악성코드가 HTML 확장자를 가진 DLL 파일로 내부에 HTML 코드를 포함하고 있으며, 웹 브 라우저와 rundll32.exe를 통해 각각의 코드를 실행한다고 알렸다. 해당 악성코드는 주로 다양한 콘텐츠가 포함된 ISO 파일 을 통해 유포되며, ISO 파일 내부의 악성 LNK 파일을 통해 실행된다고 알려졌다.

 

악성 LNK 파일을 실행할 경우, 웹 브라우저를 통해 HTML 코드를 실행시켜 의심을 피하기 위한 웹 문서를 띄운다. 이후, "rundll32.exe"로 "StrelaStealer"를 실행해 Outlook과 Thunderbird에서 로그인 데이터를 수집하고 공격자가 운영하는 C&C 서버로 전송한다.

 

[Strela Stealer 악성코드 실행 과정]

 

사진출처 : DCSO CyTec

 

 

출처

[1] DCSO CyTec (2022.11.08) – ShortAndMalicious: StrelaStealer aims for mail credentials

https://medium.com/@DCSO_CyTec/shortandmalicious-strelastealer-aims-for-mail-credentials-a4c3e78c8abc