FortiGuard Labs ha scoperto un nuovo infostealer nel panorama del crimine informatico chiamato ExelaStealer che prende di mira i sistemi Windows.
Servizio open source o a pagamento
ExelaStealer è disponibile in versioni open source e a pagamento sul Dark web, con annunci pubblicati da un singolo contatto “quicaxd”. Per la versione a pagamento che include funzionalità di personalizzazione aggiuntive, il listino prezzi varia:
- abbonamento mensile $ 20;
- abbonamento per tre mesi $ 45;
- abbonamento a vita $ 120.
Infine viene utilizzato un canale Telegram attivo per facilitare gli acquisti e ottenere l’accesso alla versione open source.
Caratteristiche dell’infostealer
L’infostealer è scritto in Python ma utilizza risorse in molti linguaggi diversi quando richiesto come JavaScript. Può rubare dati sensibili dell’utente, inclusi dati di sessione e cookie, dettagli di carte di credito, password, sequenze di tasti e dati di sistema. ExelaStealer utilizza anche tecniche di offuscamento del codice per contrastare l’analisi e il reverse engineering.
Le fasi d’attacco
I ricercatori ritengono che ExelaStealer possa essere un payload di seconda fase rilasciato tramite phishing o altro malware. In ogni caso il file binario rilasciato crea un eseguibile (sirket-ruhsat-pdf.exe, generato da PyInstaller) e avvia un visualizzatore PDF per mostrare all’utente un documento esca “BNG 824 ruhsat.pdf”.
L’eseguibile camuffato da file pdf sirket-ruhsat-pdf.exe avvia quindi il processo deI malware che inizia quindi a raccogliere dati ed eseguire un comando PowerShell con codifica base64. Le informazioni vengono inviate al canale Telegram dell’aggressore, dove i file vengono impacchettati in un archivio ZIP e inviati a un webhook Discord.
Possibile evoluzione futura
Sebbene ExelaStealer al momento funzioni solo su sistemi Windows, c’è un ampio margine per ulteriori sviluppi. Infatti data la funzionalità open source dell’infostealer, è possibile per chiunque, con competenze di programmazione, creare dei propri binari utilizzando il codice sorgente.
Pertanto è concreta la possibilità di nuove varianti e derivati nel prossimo futuro.
“I dati sono diventati una valuta preziosa e, per questo motivo, i tentativi di raccoglierli probabilmente non cesseranno mai. Il malware InfoStealer esfiltra dati appartenenti ad aziende e individui che possono essere utilizzati per ricatto, spionaggio o riscatto. Nonostante il numero di infostealer in circolazione, ExelaStealer mostra che c’è ancora spazio perché nuovi giocatori emergano e guadagnino terreno.” , conclude James Slaughter di FortiGuard.