20 octubre, 2023 Por Hispasec

Surge un nuevo ladrón de información llamado ExelaStealer, un malware «low-cost» que se vende listo para su uso, diseñado para capturar datos sensibles de sistemas Windows comprometidos.

«ExelaStealer es principalmente un ladrón de información de código abierto con personalizaciones de pago disponibles por parte del actor de amenazas».

James Slaughter, investigador de Fortinet FortiGuard Labs en un informe técnico

Escrito en Python y con soporte para JavaScript, tiene la capacidad de robar una amplia gama de datos sensibles, que incluyen contraseñas, tokens de Discord, tarjetas de crédito, cookies, datos de sesión, pulsaciones de teclado, capturas de pantalla y contenido del portapapeles.

Lo que hace que ExelaStealer sea aún más accesible para los ciberdelincuentes es su precio. Se ofrece en venta a través de foros de ciberdelincuentes y un canal de Telegram dedicado establecido por sus operadores, quienes operan bajo el alias «quicaxd«. Los precios varían desde $20 al mes hasta $120 para una licencia de por vida. Este bajo costo convierte a ExelaStealer en una herramienta de piratería perfecta para principiantes, reduciendo significativamente la barrera de entrada para llevar a cabo ataques maliciosos.

Anuncio detallando las capacidades del malware y sus opciones de compilado (https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field)

El binario, en su forma actual, solo puede ser compilado y empaquetado en un sistema basado en Windows mediante un script Python, que agrega la necesaria ofuscación del código fuente en un intento de resistir el análisis.

Existen pruebas que sugieren que ExelaStealer se distribuye a través de un ejecutable que se disfraza como un documento PDF, lo que indica que el vector de intrusión inicial podría ser cualquier cosa, desde el phishing hasta los «watering holes«.

Cuando se ejecuta el binario, se muestra un documento de cebo: un certificado de registro de vehículo turco para un Dacia Duster, mientras que el ladrón se activa sigilosamente en segundo plano.

«Los datos se han convertido en una moneda valiosa y, debido a esto, los intentos de recopilarlos probablemente nunca cesarán. El malware ladrón de información exfiltra datos pertenecientes a empresas e individuos que pueden utilizarse para chantaje, espionaje o rescate. A pesar de la cantidad de ladrones de información en circulación, ExelaStealer muestra que todavía hay espacio para que surjan nuevos actores y ganen tracción».

James Slaughter, investigador de Fortinet FortiGuard

Este descubrimiento se produce cuando Kaspersky dio a conocer detalles de una campaña que apunta a gobiernos, fuerzas de seguridad y organizaciones sin fines de lucro para lanzar varios scripts y ejecutables de una sola vez con el fin de llevar a cabo la minería de criptomonedas, robar datos mediante keyloggers y obtener acceso de puerta trasera a sistemas.

Sin ir más lejos, a principios de esta semana, las agencias de ciberseguridad e inteligencia de Estados Unidos publicaron un aviso conjunto en el que se describen las técnicas de phishing que los actores maliciosos utilizan comúnmente para obtener credenciales de inicio de sesión y desplegar malware, resaltando sus intentos de suplantar a una fuente de confianza para alcanzar sus objetivos.

Más información:

• https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field
• https://securelist.com/miner-keylogger-backdoor-attack-b2b/110761/
• https://www.cisa.gov/news-events/alerts/2023/10/18/cisa-nsa-fbi-and-ms-isac-release-phishing-prevention-guidance