Un nuevo ladrón de información llamado ExelaStealer se ha convertido en el último participante en un panorama ya abarrotado lleno de varios programas maliciosos diseñados para capturar datos confidenciales de sistemas Windows comprometidos.
“ExelaStealer es principalmente un infostealer de código abierto con personalizaciones de pago disponibles por parte del actor de amenazas”, dijo el investigador de Fortinet FortiGuard Labs, James Slaughter, en un informe técnico.
Escrito en Python e incorporando soporte para JavaScript, viene equipado con capacidades para desviar contraseñas, tokens de Discord, tarjetas de crédito, cookies y datos de sesión, pulsaciones de teclas, capturas de pantalla y contenido del portapapeles.
ExelaStealer se ofrece a la venta a través de foros de ciberdelincuencia, así como de un canal de Telegram creado por sus operadores, que se hacen llamar en quicaxd. La versión de pago cuesta 20 dólares al mes, 45 dólares por tres meses o 120 dólares por una licencia de por vida.
El bajo costo del malware básico lo convierte en una herramienta de hacking perfecta para los novatos, lo que reduce efectivamente la barrera de entrada para realizar ataques maliciosos.
El binario stelear, en su forma actual, solo se puede compilar y empaquetar en un sistema basado en Windows utilizando un script de Python, que arroja la ofuscación necesaria del código fuente en la mezcla en un intento de resistir el análisis.
Hay evidencia que sugiere que ExelaStealer se está distribuyendo a través de un ejecutable que se hace pasar por un documento PDF, lo que indica que el vector de intrusión inicial podría ser cualquier cosa, desde phishing hasta otros metodos.
Al iniciar el binario, se muestra un documento de señuelo, un certificado de registro de vehículo turco para un Dacia Duster, mientras se activa sigilosamente el ladrón en segundo plano.
“Los datos se han convertido en una moneda valiosa, y debido a esto, es probable que los intentos de recopilarlos nunca cesen”, dijo Slaughter.
“El malware Infostealer extrae datos pertenecientes a corporaciones e individuos que pueden usarse para chantaje, espionaje o rescate. A pesar de la cantidad de ladrones de información en la naturaleza, ExelaStealer muestra que todavía hay espacio para que surjan nuevos jugadores y ganen tracción”.
“El sector B2B sigue siendo atractivo para los ciberdelincuentes, que buscan explotar sus recursos con fines lucrativos”, dijo la firma rusa de ciberseguridad, señalando que la mayoría de los ataques estaban dirigidos a organizaciones en Rusia, Arabia Saudita, Vietnam, Brasil, Rumania, Estados Unidos, India, Marruecos y Grecia.
A principios de esta semana, las agencias de inteligencia y ciberseguridad de EE. UU. publicaron un aviso conjunto que describe las técnicas de phishing que los actores maliciosos usan comúnmente para obtener credenciales de inicio de sesión y desplegar malware, destacando sus intentos de hacerse pasar por una fuente confiable para lograr sus objetivos.
