Ένας νέος information stealer με το όνομα ExelaStealer έχει γίνει η τελευταία προσθήκη σε ένα ήδη πολυσύχναστο τοπίο γεμάτο με διάφορα έτοιμα malware σχεδιασμένα για να καταγράφουν ευαίσθητα δεδομένα από παραβιασμένα συστήματα Windows.
Γραμμένο σε Python και ενσωματώνοντας υποστήριξη για JavaScript, διαθέτει δυνατότητες για εξαγωγή κωδικών πρόσβασης, Discord credentials, πιστωτικές κάρτες, cookies και session data, πληκτρολογήσεις, screenshots και περιεχόμενο clipboard.
Το ExelaStealer προσφέρεται προς πώληση μέσω φόρουμ cybercrime καθώς και μέσω ενός αφιερωμένου καναλιού στο Telegram που έχει δημιουργηθεί από τους υπευθύνους του, οι οποίοι χρησιμοποιούν το διαδικτυακό ψευδώνυμο “quicaxd”. Η πληρωμένη έκδοση κοστίζει 20 δολάρια τον μήνα, 45 δολάρια για τρεις μήνες ή 120 δολάρια για άδεια εφ’ όρου ζωής.
Το χαμηλό κόστος του κακόβουλου λογισμικού το καθιστά ένα ιδανικό εργαλείο για αρχάριους χάκερς, μειώνοντας αποτελεσματικά το κατώφλι εισόδου για την υλοποίηση κακόβουλων επιθέσεων.
Το stealer binary, στην τρέχουσα μορφή του, μπορεί να συγκεντρωθεί και να πακεταριστεί μόνο σε ένα σύστημα βασισμένο σε Windows χρησιμοποιώντας έναν δημιουργό Python script, ο οποίος προσθέτει την αναγκαία απόκρυψη του πηγαίου κώδικα στο μείγμα, προσπαθώντας να αντισταθεί στην ανάλυση.
Υπάρχουν ενδείξεις που υποδεικνύουν ότι το ExelaStealer διανέμεται μέσω ενός εκτελέσιμου που μασκαρεύεται ως έγγραφο PDF, υποδεικνύοντας ότι το αρχικό διάνυσμα εισβολής μπορεί να είναι οτιδήποτε, από phishing έως watering holes.
Η εκκίνηση του binary εμφανίζει ένα έγγραφο δέλεαρ – μια τουρκική πινακίδα κυκλοφορίας για ένα Dacia Duster – ενώ ταυτόχρονα ενεργοποιεί αθέμιτα το stealer που βρίσκεται στο παρασκήνιο.
Η αποκάλυψη έρχεται καθώς η Kaspersky αποκάλυψε λεπτομέρειες μιας εκστρατείας που στοχεύει κυβερνητικούς, αστυνομικούς και μη κερδοσκοπικούς οργανισμούς, με σκοπό να κάνει drop ταυτόχρονα αρκετά scripts και εκτελέσιμα αρχεία για την εκτέλεση εξόρυξης κρυπτονομισμάτων, κλοπής δεδομένων χρησιμοποιώντας keyloggers και απόκτηση πρόσβασης σε συστήματα μέσω backdoor.
“Ο τομέας B2B παραμένει ελκυστικός για τους εγκληματίες του κυβερνοχώρου, οι οποίοι επιδιώκουν να εκμεταλλευτούν τους πόρους του για σκοπούς δημιουργίας χρημάτων”, δήλωσε η ρωσική εταιρεία κυβερνοασφάλειας, σημειώνοντας ότι οι περισσότερες από τις επιθέσεις στόχευαν σε οργανισμούς στη Ρωσία, τη Σαουδική Αραβία, το Βιετνάμ, τη Βραζιλία, τη Ρουμανία, ΗΠΑ, Ινδία, Μαρόκο και Ελλάδα.
Πηγή πληροφοριών: thehackernews.com
