Ce virus touche les services de gestion de mails Outlook et Mozilla Thunderbird et s’attaque aux données personnelles des utilisateurs. Ce sont des chercheurs en cybersécurité travaillant pour DCSO CyTec qui ont repéré le virus. Appelé « StrelaStealer », ce virus a comme objectif de collecter des données personnelles comme les identifiants et les mots de passe des utilisateurs. Pour cela, l’utilisateur reçoit une pièce jointe dans un mail, à savoir un fichier ISO (un ISO est un fichier qui peut contenir une copie d’un CD, un DVD ou encore une copie d’une BD physique). À l’heure actuelle, seuls des utilisateurs hispanophones de ces deux plateformes de gestion de mails sont touchés, cependant rien n’indique que ce virus ne pourrait pas se propager sur d’autres territoires et atteindre d’autres cibles. Mode opératoir du virus Comme nous l’avons vu, le virus est contenu dans un fichier ISO présent dans une pièce jointe. Dans le fichier ISO se trouve un lien vers une facture en format .Ink ( DCSO CyTec montre un exemple d’une fausse facture BNP Paribas). Il s’agit en réalité d’un appât, l’ouverture du fichier en format .Ink lance l’exécution d’un nouveau fichier au format .html polyglotte. Ce fichier au format .html polyglotte contient un fichier exécutable « msinfo32.exe », qui télécharge une bibliothèque logiciel (DLL) sur l’appareil de la victime et dans laquelle est contenu le virus StrelaStealer. De plus, x.html ouvre dans le navigateur par défaut la facture au format .Ink et l’utilisateur voit ainsi cette facture s’afficher sur son ordinateur. Une fois installé involontairement par la victime, le virus peut alors mener à bien ses actions et collecter les données de celui-ci. Diagram du processus d’infection du virus / Source: DCSO CyTec En ce qui concerne Thunderbird, le virus cherche dans le dossier « %APPDATA%ThunderbirdProfiles » et les fichiers « logins.json » et « key4.db ». C’est là qu’il y trouve les données sur le compte de l’utilisateur, dont le mot de passe. Ensuite, le virus achemine les informations récoltées via un serveur C2. En ce qui concerne Outlook, StrelaStealer cherche dans le registre Windows et y extrait les données « Utilisateur IMAP », « Serveur IMAP » et « Mot de passe IMAP ». Étant donné que le mot de passe IMAP est crypté, le virus utilise la commande Windows CryptUnprotectData. De la même façon, le virus achemine les informations récoltées via un serveur C2. StrelaStealer attend la confirmation du serveur C2 de la bonne réception des données récoltées et s’il ne reçoit pas de confirmation, le virus réitère l’opération de transfert jusqu’à ce que celle-ci aboutisse.