Outlook, Thunderbird : attention à ce nouveau virus qui veut voler vos compte mails

14 novembre 2022 à 08h35
9
hacker
© Shutterstock

Un virus qui en veut à vos identifiants et mots de passe vient d'être repéré par des chercheurs en cybersécurité en ce mois de novembre 2022.

Pour l'heure, il cible avant tout les utilisateurs hispanophones d'Outlook et Thunderbird, mais rien n'exclut une propagation vers de nouvelles cibles.

Un fichier polyglotte permet de jouer une partition parfaite pour les hackers

Voilà un nouveau virus qui a le potentiel pour faire de sérieux ravages. En effet, des chercheurs en cybersécurité de chez DCSO CyTec affirment avoir isolé récemment un virus dont l'objectif est de subtiliser les identifiants et mots de passe des utilisateurs de deux services de gestion de mails particulièrement fréquentés. Il s'agit de Microsoft Outlook et Mozilla Thunderbird. Nommé « StrelaStealer », ce virus repose sur un mode opératoire simple : une pièce jointe dans un mail, à savoir un fichier ISO.

Strelastealer virus © © DCSO CyTec
© DCSO CyTec

Dans l'ISO est notamment contenu un raccourci vers une facture, au format .lnk, qui sert de leurre. Ce qui est particulièrement pervers, c'est que l'ouverture de ce fichier au format .lnk lance également l'exécution d'un autre fichier au format .html polyglotte, visible ci-dessus. Ce dernier contient tout d'abord un fichier exécutable, « msinfo32.exe », qui télécharge une bibliothèque logiciel (DLL) sur l'appareil dans laquelle est contenu le virus StrelaStealer.

Strelastealer virus (2) © © DCSO CyTec

Mais ce n'est pas tout, puisque x.html ouvre aussi dans le navigateur web par défaut la facture au format .lnk. La victime potentielle voit donc cette facture s'afficher et ne se doute pas qu'elle vient aussi d'installer StrelaStealer sur son appareil. Les étapes sont résumées ci-dessus.

Pour l'instant, les hispanophones sont les cibles préférentielles

Ensuite, StrelaStealer peut sereinement opérer pour dénicher les identifiants et mots de passe. Pour Thunderbird, le virus fouille dans le dossier « %APPDATA%ThunderbirdProfiles » et les fichiers « logins.json » et « key4.db ». Il y déniche les données sur le compte et notamment le mot de passe de la victime et les envoie à l'attaquant par le biais d'un serveur C2.

Pour Outlook, StrelaStealer fouille dans le registre Windows et extrait les données « Utilisateur IMAP », « Serveur IMAP » et « Mot de passe IMAP ». Le mot de passe IMAP étant crypté, le virus utilise la commande Windows CryptUnprotectData pour le décrypter puis l'envoyer à l'attaquant, toujours à l'aide du serveur C2. Avant de cesser son activité, StrelaStealer attend la réponse du serveur C2 pour vérifier que les données des victimes ont bien été transmises, sinon il va rééditer l'opération de transfert tant qu'elle ne réussit pas.

Actuellement, StrelaStealer cible préférentiellement des utilisatrices et utilisateurs hispanophones. Mais en l'état, rien ne l'empêche de proliférer et cibler d'autres profils.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
9
gemini7
C’est cool de prévenir, pour les utilisateurs non avertis, personnellement, je reçois beaucoup de pourriels sur mon adresse « Outlook », et de toute manière, je n’ouvrirais jamais un fichier ISO en pièce jointe.
nemo2023
Le souci étant que sur mobile les extensions, l’adresse complète de l’expéditeur sont souvent omise pour faciliter la lecture …Et bouuuummm à force.<br /> Surtout si tu as une petite famille à gérer derrière qui ne lit pas clubic.
gemini7
Je me fais plus de soucis pour mes sœurs et mon frère, mais ils ne sont pas stupides non plus, je vais les prévenir.
glittermen
Vive le VPN !
Papy65
Je n’ai jamais ouvert de pièce jointe même provenant d’un contact connu s’il ne m’a pas averti en avance qu’il me l’envoie, ce que je fais aussi dans l’autre sens
jcc137
ça me fait penser à un sketch dont je ne me rappelle plus l’humoriste, qui disait en substance : « Je t’ai envoyé un sms pour te prévenir que tu vas recevoir un fax t’avertissant que je t’ai transmis un mail. »
cracktonslip
Sélection naturelle: une fois de plus la gourdasse (ou le neuneu) ayant cliqué bêtement sur la pièce jointe se fera infecter.
user72475
Quel rapport? Un VPN ne vous protégera pas contre ce type d’attaque.
Voir tous les messages sur le forum

Derniers actualités

L'offre Disney+ plus abordable, mais avec de la pub, arrive... la hausse de prix aussi
Amazon brade son Fire TV Cube à quelques jours de Noël
C'est déjà Noël chez les VPN, découvrez le TOP 3 des promos du moment !
Fêtez Noël en musique avec l'enceinte Bluetooth JBL GO 3 à -25% chez Amazon
Ce pack Oppo Find X5 + écouteurs sans fil fera forcément plaisir sous le sapin !
Vente flash sur l'Apple Watch Series 8 chez Fnac avec en plus 40 € sur votre compte adhérent
Twitter va
Cdiscount vous propose un SSD 2,5
Grosse réduction sur le pack Amazon Echo Dot 5 avec une prise connectée Meross Smart Plug
Quand Amazon s'Inspire de TikTok : fausse bonne idée ou pas ?
Haut de page