ExelaStealer, il nuovo infostealer nel panorama del cybercrime

FortiGuard Labs ha scoperto un nuovo infostealer nel panorama del crimine informatico chiamato ExelaStealer che prende di mira i sistemi Windows.

Servizio open source o a pagamento

ExelaStealer è disponibile in versioni open source e a pagamento sul Dark web, con annunci pubblicati da un singolo contatto “quicaxd”. Per la versione a pagamento che include funzionalità di personalizzazione aggiuntive, il listino prezzi varia:

  • abbonamento mensile $ 20;
  • abbonamento per tre mesi $ 45;
  • abbonamento a vita $ 120.

Infine viene utilizzato un canale Telegram attivo per facilitare gli acquisti e ottenere l’accesso alla versione open source.

Fonte FortiGuard

Caratteristiche dell’infostealer

L’infostealer è scritto in Python ma utilizza risorse in molti linguaggi diversi quando richiesto come JavaScript. Può rubare dati sensibili dell’utente, inclusi dati di sessione e cookie, dettagli di carte di credito, password, sequenze di tasti e dati di sistema. ExelaStealer utilizza anche tecniche di offuscamento del codice per contrastare l’analisi e il reverse engineering.

Le fasi d’attacco

I ricercatori ritengono che ExelaStealer possa essere un payload di seconda fase rilasciato tramite phishing o altro malware. In ogni caso il file binario rilasciato crea un eseguibile (sirket-ruhsat-pdf.exe, generato da PyInstaller) e avvia un visualizzatore PDF per mostrare all’utente un documento esca “BNG 824 ruhsat.pdf”.

Fonte FortiGuard

L’eseguibile camuffato da file pdf sirket-ruhsat-pdf.exe avvia quindi il processo deI malware che inizia quindi a raccogliere dati ed eseguire un comando PowerShell con codifica base64. Le informazioni vengono inviate al canale Telegram dell’aggressore, dove i file vengono impacchettati in un archivio ZIP e inviati a un webhook Discord.

Possibile evoluzione futura

Sebbene ExelaStealer al momento funzioni solo su sistemi Windows, c’è un ampio margine per ulteriori sviluppi. Infatti data la funzionalità open source dell’infostealer, è possibile per chiunque, con competenze di programmazione, creare dei propri binari utilizzando il codice sorgente.

Pertanto è concreta la possibilità di nuove varianti e derivati nel prossimo futuro.

I dati sono diventati una valuta preziosa e, per questo motivo, i tentativi di raccoglierli probabilmente non cesseranno mai. Il malware InfoStealer esfiltra dati appartenenti ad aziende e individui che possono essere utilizzati per ricatto, spionaggio o riscatto. Nonostante il numero di infostealer in circolazione, ExelaStealer mostra che c’è ancora spazio perché nuovi giocatori emergano e guadagnino terreno.” , conclude James Slaughter di FortiGuard.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.