El mercado de software infostealer se está expandiendo rápidamente, ya que los investigadores han descubierto un nuevo malware llamado ExelaStealer. El malware apareció por primera vez en agosto e incluye una variedad de capacidades para capturar datos confidenciales de sistemas Windows comprometidos.
«ExelaStealer es un ladrón de información en gran medida de código abierto con personalizaciones de pago disponibles por parte del actor de la amenaza», afirma James Slaughter, investigador de FortiGuard Labs, en un informe técnico.
Escrito en Python e incorporando soporte para JavaScript, viene equipado con capacidades para desviar contraseñas, tokens de Discord, tarjetas de crédito, cookies y datos de sesión, pulsaciones de teclas, capturas de pantalla y contenido del portapapeles.
ExelaStealer se ofrece a la venta a través de foros de ciberdelincuentes y de un canal de Telegram creado por sus operadores, que se hacen llamar quicaxd. La versión de pago cuesta 20 dólares al mes, 45 dólares por tres meses o 120 dólares por una licencia de por vida.
Despliegue de ExelaStealer
Dada la característica de código abierto del infostealer, es posible que cualquier persona con conocimientos básicos de programación cree sus propios binarios utilizando su código fuente. Por el momento, el empaquetado y la configuración de ExelaStealer son tales que sólo pueden afectar a sistemas Windows.
Algunos anuncios parecen haber sido publicados por el contacto principal de ExelaStealer, un individuo o grupo que utiliza el alias «quicaxd». Además, se muestra su canal de Telegram y su página de inicio permite adquirir una copia de la versión de pago y el repositorio de GitHub para la versión de código abierto.
Detalles técnicos del malware
Según Fortiguard Labs, los binarios que analizaron han sido liberados como parte de una campaña específica, y la participación de un documento señuelo apoya aún más esta suposición.
Los investigadores no pudieron identificar el vector de ataque inicial, pero sospechan que podría lograrse mediante el despliegue de malware, watering holes o ataques de phishing. El binario es la primera etapa del ataque, que genera un ejecutable (sirket-ruhsat-pdf.exe) e inicia un visor de PDF para mostrar al usuario un documento señuelo titulado «BNG 824 ruhsat.pdf». Sirket-ruhsat-pdf.exe y BNG 824 ruhsat.pdf se colocan en el directorio raíz de la unidad C: en el que el primero es un archivo generado por PyInstaller mientras que el segundo es un archivo señuelo.
Como se ha mencionado anteriormente, cualquiera con los conocimientos necesarios podría crear un binario de ExelaStealer utilizando el código fuente disponible gratuitamente.
En cuanto a las etapas del ataque, los investigadores de FortiGuard Labs observaron que la funcionalidad principal del malware está incrustada en un archivo titulado Exela.py. El proceso de construcción comienza con un archivo por lotes que invoca Python y el archivo ‘build.py’. Actualmente, el malware sólo puede compilarse y empaquetarse en un host basado en Windows. El código principal del malware está contenido en el archivo Exela.py.
El proceso de compilación se inicia mediante un archivo por lotes que llama a Python y al archivo «builder.py». El constructor utiliza un archivo llamado «obf.py» para realizar las llamadas necesarias para ofuscar el código de ExelaStealer, dificultando su análisis.
A excepción de los componentes de la biblioteca, el código ofuscado se consolida en un archivo titulado ‘Obfuscated.py’ que luego se despliega. A continuación, el malware comienza a recopilar datos y a ejecutar un comando PowerShell codificado en base64. La información se envía al canal de Telegram del atacante, donde los archivos se empaquetan en un archivo ZIP y se envían a un webhook de Discord.
Como cuidarse: Cuidado con los ataques Watering Hole y ataques de phishing
Para protegerse de ExelaStealer, los usuarios deben estar atentos a los watering holes y a los ataques de phishing. Un ataque de watering hole es un tipo de ciberataque en el que el atacante identifica y compromete un sitio web frecuentado por un determinado grupo de individuos u organizaciones.
El objetivo de este ataque es infectar los ordenadores de los visitantes con malware o explotar las vulnerabilidades de sus sistemas. El término «abrevadero» se deriva del concepto de depredadores que esperan cerca de abrevaderos en la naturaleza para emboscar a sus presas cuando se acercan a beber.
Para protegerse contra los ataques de «watering hole», los particulares y las organizaciones deben actualizar periódicamente su software, utilizar medidas de seguridad sólidas y ser cautelosos al visitar sitios web, especialmente aquellos que puedan ser de interés para posibles atacantes. Además, las soluciones de seguridad que pueden detectar y bloquear la actividad maliciosa son esenciales para identificar y mitigar tales ataques.
Los datos se han convertido en una moneda valiosa y, por ello, es probable que los intentos de obtenerlos no cesen nunca. El malware InfoStealer exfiltra datos pertenecientes a empresas y particulares que pueden utilizarse para el chantaje, el espionaje o el cobro de rescates. A pesar del número de infostealers que existen, ExelaStealer demuestra que todavía hay espacio para que surjan nuevos actores y ganen terreno.
Indicadores de Compromiso (IoC)
| Nombre del Archivo | SHA256 |
| sirket-ruhsat-pdf.exe | f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048 |
| sirket-ruhsat-pdf.exe | 95d860570b2777d7af213f9b48747d528251facada54842d7a07a5798fcbfe51 |
| BNG 824 ruhsat.pdf | 5aff2c5e65d8e4e7fa0b0c310fbaef1e1da351de34fa5f1b83bfe17eeabac7ef |
| RuntimeBroker.exe | 34dca3c80cd5125091e6e4de02e86dcc6a2a6f9900e058111e457c9bce6117c0 |
| RuntimeBroker.exe | c56b23602949597352d99aff03411d620b7a5996da2cab91368de275dcfbaa44 |
| hXXps://discord[.]com/api/webhooks/1139506512302194789/X_VYZdAHscWQ NKWvya9KWqqqTK6UjVvS86_kUy8P8OyCcPhKykCQpEqf93S_qDFVuzp8 | Discord webhook address |
Referencia:
https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field
