ExelaStealer
ExelaStealerは、インフォスティーラーです。
インフォスティーラーはすでに多くの種類が登場してしまっていて、悪用されている事例も多くあります。
しかし、そこにまた新たな実装が投入されてしまっています。
- 無料バージョン
ExelaStealerは、無料バージョンのソースコードが入手可能です。
ソースコードのままでは、もちろん、悪事を働くことはできないのですが、WindowsのパソコンとPythonの実行環境が用意できれば、簡単にマルウェアのバイナリを自分で作ることができます。
ExelaStealerの配布物の中に、悪事を働くためのコードの本体部分のほかに、難読化するソースコードも一緒に配布されていますし、それらを使ってバイナリ化するためのコードも一緒に配布されています。
マルウェアをバイナリ化したい人は、そのバイナリ化するためのコードをPythonで実行するだけでいいのです。 - 有料バージョンが格安
無料のバージョンは宣伝用です。
有料バージョンは支払いが必要ですが、とても安いです。
1か月の使用料金は20ドル、3か月の料金は45ドル、生涯購読料は120ドルです。 - Pyinstaller
ExelaStealerのバイナリの形式は、Pyinstallerによって生成されたバイナリの形式です。
このため、バイナリのみを持っている場合でも、内容の解析が可能です。
まずはバイナリをPythonのスクリプトに戻すことができます。
道具としては、pyinstxtractorなどが使えます。
難読化されたPythonのスクリプトが取り出せます。
pycdcで逆コンパイルする、出てきたコードの中の機構でデコードする、などの手順を踏めば、内容を確認できます。 - 見た目の動作
ExelaStealerは、PDF文書を装います。
実行されると、一緒に配布しているPDFを表示します。
このPDF文書には、なんら加工はされていません。
単に侵害環境にあるPDF表示ソフトを使用して画面表示するだけです。
目くらましということでしょう。 - マルウェアとしての動作
PDFを表示している裏側でマルウェアとしての動作が実行されます。
Windowsのバージョン、システムのUUID、スクリーンショット、クリップボード内容の取得、基本的なシステム情報、基本的な物理ディスク情報、ユーザー情報、ファイアウォールのステータス、WLANのステータスとプロファイルを収集します。
収集したものはZIPファイルにまとめられ、脅威アクターが制御するDiscordチャネルに投稿されます。
ExelaStealerは安いうえに利用が簡単です。
これがなくても、すでにインフォスティーラーはあふれている状況ですが、さらにこれによってインフォスティーラーの被害は拡大しそうです。
参考記事(外部リンク):Another InfoStealer Enters the Field, ExelaStealer
www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field
