ExelaStealer: Neue Billig-Cybercrime-Waffe im Anflug
In der ohnehin schon überfüllten Arena der Malware, die darauf abzielt, sensible Daten von kompromittierten Windows-Systemen zu stehlen, ist nun "ExelaStealer" aufgetaucht. Dabei handelt es sich um einen weitgehend quelloffenen Infostealer mit kostenpflichtigen Anpassungen durch den Bedrohungsakteur.
Das in Python geschriebene Programm, das auch JavaScript unterstützt, ist in der Lage, Passwörter, Discord-Token, Kreditkarteninformationen, Cookies und Sitzungsdaten, Tastenanschläge, Screenshots und Inhalte der Zwischenablage abzuschöpfen. ExelaStealer wird über Cybercrime-Foren sowie über einen speziellen Telegram-Kanal angeboten, der von den Betreibern unter dem Online-Alias quicaxd eingerichtet wurde. Die kostenpflichtige Version kostet 20 Dollar pro Monat, 45 Dollar für drei Monate oder 120 Dollar für eine lebenslange Lizenz. Die niedrigen Kosten der Commodity-Malware machen sie zu einem perfekten Hacking-Tool für Einsteiger und senken die Einstiegshürde für bösartige Angriffe.
Die Stealer-Binärdatei kann in ihrer aktuellen Form nur auf einem Windows-basierten System mit einem Python Ersteller-Skript kompiliert und paketiert werden, das den Quellcode verschleiert, um eine Analyse zu verhindern. Es gibt Hinweise darauf, dass ExelaStealer über eine ausführbare Datei verbreitet wird, die sich als PDF-Dokument tarnt. Das deutet darauf hin, dass der ursprüngliche Angriffsvektor alles Mögliche sein könnte. Beim Starten der Binärdatei wird ein Köderdokument – ein türkischer Fahrzeugschein für einen Dacia Duster – angezeigt, während der Stealer im Hintergrund heimlich aktiviert wird.
„Daten sind zu einer wertvollen Währung geworden, und aus diesem Grund werden die Versuche, sie zu sammeln, wahrscheinlich nie aufhören“, so James Slaughter, Forscher bei den Fortinet FortiGuard Labs. „Infostealer-Malware exfiltriert Daten von Unternehmen und Einzelpersonen, die für Erpressung, Spionage oder Lösegeldforderungen verwendet werden können. Trotz der Anzahl von Infostealern in freier Wildbahn zeigt ExelaStealer, dass es immer noch Raum für neue Akteure gibt, die sich als Neulinge durchsetzen können.“
Die Enthüllung kommt zu einem Zeitpunkt, an dem Kaspersky Details einer Kampagne enthüllte, die auf Regierungen, Strafverfolgungsbehörden und gemeinnützige Organisationen abzielt. Hier geht es darum, mehrere Skripte und ausführbare Dateien auf einmal abzulegen, um Kryptowährung zu schürfen, Daten mithilfe von Keyloggern zu stehlen und sich durch Hintertüren Zugang zu Systemen zu verschaffen.
Laut dem russischen Cybersicherheitsunternehmen bleibt der B2B-Sektor weiterhin ein begehrtes Ziel für Cyberkriminelle, die versuchen, aus den Ressourcen dieses Marktes Profit zu schlagen. Die meisten dieser Angriffe richten sich offenbar vorwiegend gegen Organisationen in Ländern wie Russland, Saudi-Arabien, Vietnam, Brasilien, Rumänien, den USA, Indien, Marokko und Griechenland.
Vor kurzem veröffentlichten die US-Cybersicherheits- und Nachrichtendienste eine gemeinsame Empfehlung, in der die Phishing-Techniken beschrieben werden, die böswillige Akteure üblicherweise anwenden, um Anmeldedaten zu erhalten und Malware zu installieren.