Een nieuwe informatiedief genaamd ExelaStealer is de nieuwste nieuwkomer geworden in een toch al druk landschap vol met verschillende kant-en-klare malware die is ontworpen om gevoelige gegevens van gecompromitteerde Windows-systemen te verzamelen.
“ExelaStealer is een grotendeels open-source infostealer met betaalde aanpassingen die beschikbaar zijn via de bedreigingsactor”, zegt Fortinet FortiGuard Labs-onderzoeker James Slaughter in een technisch rapport.
Het is geschreven in Python en bevat ondersteuning voor JavaScript en is uitgerust met mogelijkheden om wachtwoorden, Discord-tokens, creditcards, cookies en sessiegegevens, toetsaanslagen, schermafbeeldingen en klembordinhoud over te hevelen.
ExelaStealer wordt te koop aangeboden via cybercriminaliteitsforums en via een speciaal Telegram-kanaal dat is opgezet door de operators die de online alias quicaxd gebruiken. De betaalde versie kost $20 per maand, $45 voor drie maanden, of $120 voor een levenslange licentie.
De lage kosten van deze standaardmalware maken het tot een perfect hackinstrument voor nieuwkomers, waardoor de toegangsdrempel voor het uitvoeren van kwaadaardige aanvallen effectief wordt verlaagd.
Het stealer-binaire bestand, in zijn huidige vorm, kan alleen worden gecompileerd en verpakt op een Windows-gebaseerd systeem met behulp van een builder Python-script, dat de noodzakelijke verduistering van de broncode in de mix gooit in een poging analyse te weerstaan.
Er zijn aanwijzingen dat ExelaStealer wordt verspreid via een uitvoerbaar bestand dat zich voordoet als een PDF-document, wat aangeeft dat de initiële inbraakvector van alles kan zijn, variërend van phishing tot watergaten.
Als u het binaire bestand start, wordt een lokdocument weergegeven – een Turks kentekenbewijs voor een Dacia Duster – terwijl de dief heimelijk op de achtergrond wordt geactiveerd.
“Gegevens zijn een waardevol betaalmiddel geworden en hierdoor zullen de pogingen om deze te verzamelen waarschijnlijk nooit ophouden”, aldus Slaughter.
“Infostealer-malware exfiltreert gegevens van bedrijven en individuen die kunnen worden gebruikt voor chantage, spionage of losgeld. Ondanks het aantal infostealers in het wild, laat ExelaStealer zien dat er nog steeds ruimte is voor nieuwe spelers om op te duiken en grip te krijgen.”
De onthulling komt op het moment dat Kaspersky details onthulde van een campagne die zich richt op de overheid, wetshandhavers en non-profitorganisaties om verschillende scripts en uitvoerbare bestanden tegelijk te laten vallen om cryptocurrency-mining uit te voeren, gegevens te stelen met behulp van keyloggers en achterdeurtoegang tot systemen te verkrijgen.
“De B2B-sector blijft aantrekkelijk voor cybercriminelen, die de hulpbronnen ervan willen exploiteren om geld te verdienen”, aldus het Russische cyberbeveiligingsbedrijf, waarbij hij opmerkte dat de meeste aanvallen gericht waren op organisaties in Rusland, Saoedi-Arabië, Vietnam, Brazilië, Roemenië, de VS, India, Marokko en Griekenland.
Eerder deze week brachten Amerikaanse cyberveiligheids- en inlichtingendiensten een gezamenlijk advies uit waarin de phishing-technieken werden geschetst die kwaadwillende actoren gewoonlijk gebruiken om inloggegevens te verkrijgen en malware in te zetten, waarin hun pogingen om zich voor te doen als een vertrouwde bron worden benadrukt om hun doelen te verwezenlijken.
