Un nouveau voleur d’informations nommé ExelaStealer est devenu le dernier venu dans un paysage déjà encombré de divers logiciels malveillants prêts à l’emploi conçus pour capturer des données sensibles à partir de systèmes Windows compromis.
« ExelaStealer est un voleur d’informations largement open source avec des personnalisations payantes disponibles auprès de l’acteur malveillant », James Slaughter, chercheur chez Fortinet FortiGuard Labs. dit dans un rapport technique.
Écrit en Python et intégrant la prise en charge de JavaScript, il est doté de fonctionnalités permettant de siphonner les mots de passe, les jetons Discord, les cartes de crédit, les cookies et les données de session, les frappes au clavier, les captures d’écran et le contenu du presse-papiers.
ExelaStealer est proposé à la vente via des forums de cybercriminalité ainsi que sur une chaîne Telegram dédiée mise en place par ses opérateurs qui s’appellent en ligne sous l’alias quicaxd. La version payante coûte 20 $ par mois, 45 $ pour trois mois ou 120 $ pour une licence à vie.
Le faible coût de ce malware de base en fait un outil de piratage parfait pour les débutants, réduisant efficacement les barrières à l’entrée pour mener des attaques malveillantes.
Le binaire du voleur, dans sa forme actuelle, ne peut être compilé et empaqueté que sur un système Windows à l’aide d’un script Python de construction, qui ajoute l’obscurcissement nécessaire du code source dans le but de résister à l’analyse.
Il existe des preuves suggérant qu’ExelaStealer est distribué via un exécutable qui se fait passer pour un document PDF, ce qui indique que le vecteur d’intrusion initial pourrait être n’importe quoi allant du phishing aux points d’eau.
Le lancement du binaire affiche un document leurre – un certificat d’immatriculation turc pour un Dacia Duster – tout en activant furtivement le voleur en arrière-plan.
« Les données sont devenues une monnaie précieuse et, de ce fait, les tentatives pour les collecter ne cesseront probablement jamais », a déclaré Slaughter.
« Le malware Infostealer exfiltre les données appartenant à des entreprises et à des individus qui peuvent être utilisées à des fins de chantage, d’espionnage ou de rançon. Malgré le nombre d’infostealers dans la nature, ExelaStealer montre qu’il est encore possible que de nouveaux acteurs émergent et gagnent du terrain.
Cette divulgation intervient alors que Kaspersky a révélé les détails d’une campagne ciblant le gouvernement, les forces de l’ordre et les organisations à but non lucratif pour supprimer plusieurs scripts et exécutables à la fois afin de procéder à l’extraction de crypto-monnaie, de voler des données à l’aide d’enregistreurs de frappe et d’accéder aux systèmes par une porte dérobée.
« Le secteur B2B reste attractif pour les cybercriminels, qui cherchent à exploiter ses ressources à des fins lucratives », estime la société russe de cybersécurité. ditnotant que la plupart des attaques visaient des organisations en Russie, en Arabie Saoudite, au Vietnam, au Brésil, en Roumanie, aux États-Unis, en Inde, au Maroc et en Grèce.
Plus tôt cette semaine, les agences américaines de cybersécurité et de renseignement libéré un avis conjoint décrivant les techniques de phishing que les acteurs malveillants utilisent couramment pour obtenir des informations de connexion et déployer des logiciels malveillants, soulignant leurs tentatives d’usurper l’identité d’une source fiable pour atteindre leurs objectifs.